Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiutatemi a debellare un'infezione multipla!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 11:09 am

Allora ragazzi, cerco di spiegarvi per filo e per segno cosa è successo.
Stamattina, mentre navigavo il mio antivirus mi segnala un virus neutralizzato. Il file infetto era C:\Windows\System32\lxaa.dll ed era visto come Dialer.igw.
Dopo pochi minuti mi esce un altro avviso relativo stavolta a C:\windows\system32\in3.dll visto come Adware/Keen Value e questo si ripresenta abbastanza spesso.
Poi altri avvisi come C:\windows\bi.dll visto come Spyware/BetterInet, C:\windows\system32\lycos.dll visto come Adware/SideSearch, C:\windows\system32\ss_msi1_setup.exe visto come Adware/sidesearch e C:\Windows\Downloaded program files\calciom.exe visto come dialer.dkm

Di questi solo il secondo si presenta ogni tanto con un avviso dell'antivirus.
Cercando un po' ho trovato Spysweeper, installato la trial e fatto la scansione, ovviamente senza abbonamento non potevo rimuovere nulla, ma ho fatto un log che allego. E poi ho fatto un log anche di hijackthis che allego anche questo. Ora mentre aspetto la costra risposta faccio una scansione anche con spybot, e vedo cosa mi trova.

Voi potete dirmi cos'altro fare? Grazie.

11.45: Tracce rilevate: 207
11.45: Scansione completa completata. Tempo trascorso 00.39.19
11.44: Scansione dei file completata. Tempo trascorso: 00.31.38
11.35: Attenzione: SweepDirectories: Cannot find directory "f:". This directory was not added to the list of paths to be scanned.
11.35: Attenzione: SweepDirectories: Cannot find directory "e:". This directory was not added to the list of paths to be scanned.
11.35: Attenzione: SweepDirectories: Cannot find directory "d:". This directory was not added to the list of paths to be scanned.
11.35: C:\WINDOWS\inf\biini.inf (ID = 83199)
11.35: C:\WINDOWS\LastGood\Downloaded Program Files\UniDist.inf (ID = 365904)
11.35: C:\WINDOWS\inf\Belt.inf (ID = 83154)
11.35: C:\WINDOWS\inf\satmat.inf (ID = 488322)
11.35: C:\WINDOWS\satmat.ini (ID = 83499)
11.35: C:\WINDOWS\inf\bi.inf (ID = 83180)
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssms858d3b99-32a9-4f76-89e5-4640a8e7a8ff.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssms1a40241e-fd1b-49a6-95ac-6c24457c614f.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssmse989cf9e-eb48-489a-a2e6-ffae4798c510.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssmsb254fe2e-013f-4d96-acf3-01fdb9165771.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssms2b9f1325-dde7-4d77-8ef9-995d863a483d.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\localservice\dati applicazioni\webroot\spy sweeper\temp\ssmsa4cd387c-231e-4fcd-b3f4-e124008f1f54.tmp". Operazione completata
11.35: Attenzione: Failed to open file "c:\documents and settings\administrator\impostazioni locali\temp\jet2.tmp". Operazione completata
11.33: c:\windows\downloaded program files\accesmembre.inf (ID = 311092)
11.32: C:\WINDOWS\system32\im64.dll (ID = 69841)
11.32: Trovati Adware: mindset interactive - favoriteman
11.30: C:\WINDOWS\GatorPdpSetup.log (ID = 61399)
11.27: C:\WINDOWS\bi.dll (ID = 83176)
11.27: Trovati Adware: directrevenue-abetterinternet
11.27: C:\WINDOWS\svchost.dll (ID = 792043)
11.27: Trovati Trojan Horse: trojan-downloader-tukpat
11.26: C:\Programmi\DivX\DivX Pro Codec\gain_trickler_3202.exe (ID = 61374)
11.25: C:\WINDOWS\system32\Lycos.dll (ID = 365458)
11.24: C:\WINDOWS\system32\ss_msi1_setup.exe (ID = 365125)
11.21: Attenzione: Failed to open file "c:\documents and settings\administrator\impostazioni locali\temp\pxr2.tmp". Operazione completata
11.13: Avvio scansione file in corso
11.13: Attenzione: SweepDirectories: Cannot find directory "a:". This directory was not added to the list of paths to be scanned.
11.13: Scansione dei cookie completata. Tempo trascorso: 00.00.02
11.13: c:\documents and settings\administrator\cookies\administrator@yadro[1].txt (ID = 3743)
11.13: Trovati Spy Cookie: yadro cookie
11.13: c:\documents and settings\administrator\cookies\administrator@xxxcounter[1].txt (ID = 3733)
11.13: c:\documents and settings\administrator\cookies\administrator@xren_cj[2].txt (ID = 3723)
11.13: Trovati Spy Cookie: xren_cj cookie
11.13: c:\documents and settings\administrator\cookies\administrator@xiti[1].txt (ID = 3717)
11.13: Trovati Spy Cookie: xiti cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.xxxcounter[1].txt (ID = 3734)
11.13: Trovati Spy Cookie: xxxcounter cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.xxx69[2].txt (ID = 3732)
11.13: Trovati Spy Cookie: xxx69 cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.myaffiliateprogram[2].txt (ID = 3032)
11.13: Trovati Spy Cookie: myaffiliateprogram.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.freestats[2].txt (ID = 2705)
11.13: Trovati Spy Cookie: freestats.net cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.counter[1].txt (ID = 2478)
11.13: Trovati Spy Cookie: counter cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.burstbeacon[1].txt (ID = 2335)
11.13: Trovati Spy Cookie: burstbeacon cookie
11.13: c:\documents and settings\administrator\cookies\administrator@www.888[2].txt (ID = 2020)
11.13: Trovati Spy Cookie: 888 cookie
11.13: c:\documents and settings\administrator\cookies\administrator@weborama[2].txt (ID = 3658)
11.13: Trovati Spy Cookie: weborama cookie
11.13: c:\documents and settings\administrator\cookies\administrator@webads[3].txt (ID = 3650)
11.13: c:\documents and settings\administrator\cookies\administrator@webads[2].txt (ID = 3650)
11.13: Trovati Spy Cookie: webads cookie
11.13: c:\documents and settings\administrator\cookies\administrator@wayin.adbureau[1].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@vip.clickzs[1].txt (ID = 2413)
11.13: c:\documents and settings\administrator\cookies\administrator@videoegg.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@videodome[2].txt (ID = 3638)
11.13: Trovati Spy Cookie: videodome cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ugo[1].txt (ID = 3608)
11.13: Trovati Spy Cookie: ugo cookie
11.13: c:\documents and settings\administrator\cookies\administrator@tribalfusion[2].txt (ID = 3589)
11.13: Trovati Spy Cookie: tribalfusion cookie
11.13: c:\documents and settings\administrator\cookies\administrator@trafficmp[1].txt (ID = 3581)
11.13: Trovati Spy Cookie: trafficmp cookie
11.13: c:\documents and settings\administrator\cookies\administrator@toyota.touchclarity[1].txt (ID = 3566)
11.13: c:\documents and settings\administrator\cookies\administrator@toplist[4].txt (ID = 3557)
11.13: c:\documents and settings\administrator\cookies\administrator@toplist[2].txt (ID = 3557)
11.13: c:\documents and settings\administrator\cookies\administrator@toplist[1].txt (ID = 3557)
11.13: Trovati Spy Cookie: toplist cookie
11.13: c:\documents and settings\administrator\cookies\administrator@tacoda[2].txt (ID = 6444)
11.13: c:\documents and settings\administrator\cookies\administrator@studenti.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@stat.onestat[1].txt (ID = 3098)
11.13: Trovati Spy Cookie: onestat.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@sportnet.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@specificclick[2].txt (ID = 3399)
11.13: c:\documents and settings\administrator\cookies\administrator@sixapart.adbureau[1].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@servlet[5].txt (ID = 3345)
11.13: c:\documents and settings\administrator\cookies\administrator@servlet[4].txt (ID = 3345)
11.13: c:\documents and settings\administrator\cookies\administrator@servlet[3].txt (ID = 3345)
11.13: c:\documents and settings\administrator\cookies\administrator@servlet[2].txt (ID = 3345)
11.13: c:\documents and settings\administrator\cookies\administrator@servlet[1].txt (ID = 3345)
11.13: Trovati Spy Cookie: servlet cookie
11.13: c:\documents and settings\administrator\cookies\administrator@serving-sys[3].txt (ID = 3343)
11.13: c:\documents and settings\administrator\cookies\administrator@serving-sys[1].txt (ID = 3343)
11.13: Trovati Spy Cookie: serving-sys cookie
11.13: c:\documents and settings\administrator\cookies\administrator@server.iad.liveperson[1].txt (ID = 3341)
11.13: Trovati Spy Cookie: server.iad.liveperson cookie
11.13: c:\documents and settings\administrator\cookies\administrator@search.gamespy[1].txt (ID = 2719)
11.13: c:\documents and settings\administrator\cookies\administrator@rotator.adjuggler[1].txt (ID = 2071)
11.13: Trovati Spy Cookie: adjuggler cookie
11.13: c:\documents and settings\administrator\cookies\administrator@revenue[1].txt (ID = 3257)
11.13: Trovati Spy Cookie: revenue.net cookie
11.13: c:\documents and settings\administrator\cookies\administrator@realmedia[2].txt (ID = 3235)
11.13: Trovati Spy Cookie: realmedia cookie
11.13: c:\documents and settings\administrator\cookies\administrator@rambler[1].txt (ID = 3225)
11.13: Trovati Spy Cookie: rambler cookie
11.13: c:\documents and settings\administrator\cookies\administrator@questionmarket[2].txt (ID = 3217)
11.13: Trovati Spy Cookie: questionmarket cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ps2.gamespy[1].txt (ID = 2719)
11.13: c:\documents and settings\administrator\cookies\administrator@prospect.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@pricegrabber[2].txt (ID = 3185)
11.13: Trovati Spy Cookie: pricegrabber cookie
11.13: c:\documents and settings\administrator\cookies\administrator@porngraph[1].txt (ID = 3170)
11.13: Trovati Spy Cookie: porngraph cookie
11.13: c:\documents and settings\administrator\cookies\administrator@perf.overture[1].txt (ID = 3106)
11.13: c:\documents and settings\administrator\cookies\administrator@peel[2].txt (ID = 3127)
11.13: Trovati Spy Cookie: peel network cookie
11.13: c:\documents and settings\administrator\cookies\administrator@pcash.imlive[1].txt (ID = 2844)
11.13: c:\documents and settings\administrator\cookies\administrator@paycounter[1].txt (ID = 3115)
11.13: Trovati Spy Cookie: paycounter cookie
11.13: c:\documents and settings\administrator\cookies\administrator@passion[2].txt (ID = 3113)
11.13: Trovati Spy Cookie: passion cookie
11.13: c:\documents and settings\administrator\cookies\administrator@partypoker[2].txt (ID = 3111)
11.13: Trovati Spy Cookie: partypoker cookie
11.13: c:\documents and settings\administrator\cookies\administrator@overture[2].txt (ID = 3105)
11.13: c:\documents and settings\administrator\cookies\administrator@outster[1].txt (ID = 3103)
11.13: Trovati Spy Cookie: outster cookie
11.13: c:\documents and settings\administrator\cookies\administrator@oasc06006.247realmedia[1].txt (ID = 1954)
11.13: c:\documents and settings\administrator\cookies\administrator@mrskin[1].txt (ID = 3020)
11.13: Trovati Spy Cookie: mrskin cookie
11.13: c:\documents and settings\administrator\cookies\administrator@movies.about[2].txt (ID = 2038)
11.13: c:\documents and settings\administrator\cookies\administrator@metriweb[1].txt (ID = 2992)
11.13: Trovati Spy Cookie: metriweb.be cookie
11.13: c:\documents and settings\administrator\cookies\administrator@maxserving[1].txt (ID = 2966)
11.13: Trovati Spy Cookie: maxserving cookie
11.13: c:\documents and settings\administrator\cookies\administrator@magazine.excite[2].txt (ID = 2632)
11.13: c:\documents and settings\administrator\cookies\administrator@kinghost[2].txt (ID = 2903)
11.13: Trovati Spy Cookie: kinghost cookie
11.13: c:\documents and settings\administrator\cookies\administrator@infospace[1].txt (ID = 2865)
11.13: Trovati Spy Cookie: infospace cookie
11.13: c:\documents and settings\administrator\cookies\administrator@imlive[1].txt (ID = 2843)
11.13: Trovati Spy Cookie: imlive.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@hotlog[1].txt (ID = 2801)
11.13: Trovati Spy Cookie: hotlog cookie
11.13: c:\documents and settings\administrator\cookies\administrator@hc2.humanclick[1].txt (ID = 2810)
11.13: Trovati Spy Cookie: humanclick cookie
11.13: c:\documents and settings\administrator\cookies\administrator@gostats[1].txt (ID = 2747)
11.13: Trovati Spy Cookie: gostats cookie
11.13: c:\documents and settings\administrator\cookies\administrator@goal.adbureau[1].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@gjacket.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@gamespy[1].txt (ID = 2719)
11.13: Trovati Spy Cookie: gamespy cookie
11.13: c:\documents and settings\administrator\cookies\administrator@fortunecity[1].txt (ID = 2686)
11.13: Trovati Spy Cookie: fortunecity cookie
11.13: c:\documents and settings\administrator\cookies\administrator@fl01.ct2.comclick[1].txt (ID = 2450)
11.13: Trovati Spy Cookie: comclick cookie
11.13: c:\documents and settings\administrator\cookies\administrator@fe.lea.lycos[1].txt (ID = 2660)
11.13: Trovati Spy Cookie: fe.lea.lycos.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@excite[1].txt (ID = 2631)
11.13: c:\documents and settings\administrator\cookies\administrator@edge.ru4[2].txt (ID = 3269)
11.13: Trovati Spy Cookie: ru4 cookie
11.13: c:\documents and settings\administrator\cookies\administrator@easyjet.touchclarity[1].txt (ID = 3566)
11.13: Trovati Spy Cookie: touchclarity cookie
11.13: c:\documents and settings\administrator\cookies\administrator@domus.adbureau[1].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@dnsstuff.adbureau[2].txt (ID = 2060)
11.13: c:\documents and settings\administrator\cookies\administrator@data3.perf.overture[1].txt (ID = 3106)
11.13: Trovati Spy Cookie: overture cookie
11.13: c:\documents and settings\administrator\cookies\administrator@cz8.clickzs[2].txt (ID = 2413)
11.13: c:\documents and settings\administrator\cookies\administrator@cz7.clickzs[2].txt (ID = 2413)
11.13: c:\documents and settings\administrator\cookies\administrator@cz5.clickzs[1].txt (ID = 2413)
11.13: c:\documents and settings\administrator\cookies\administrator@cz4.clickzs[1].txt (ID = 2413)
11.13: Trovati Spy Cookie: clickzs cookie
11.13: c:\documents and settings\administrator\cookies\administrator@customer[1].txt (ID = 2481)
11.13: Trovati Spy Cookie: customer cookie
11.13: c:\documents and settings\administrator\cookies\administrator@commerce[1].txt (ID = 2451)
11.13: Trovati Spy Cookie: commerce cookie
11.13: c:\documents and settings\administrator\cookies\administrator@club.cdfreaks[1].txt (ID = 2371)
11.13: c:\documents and settings\administrator\cookies\administrator@cgm.adbureau[2].txt (ID = 2060)
11.13: Trovati Spy Cookie: adbureau cookie
11.13: c:\documents and settings\administrator\cookies\administrator@cdfreaks[2].txt (ID = 2370)
11.13: c:\documents and settings\administrator\cookies\administrator@ccbill[2].txt (ID = 2369)
11.13: Trovati Spy Cookie: ccbill cookie
11.13: c:\documents and settings\administrator\cookies\administrator@calcio.excite[2].txt (ID = 2632)
11.13: c:\documents and settings\administrator\cookies\administrator@cala79.blog.excite[2].txt (ID = 2632)
11.13: Trovati Spy Cookie: excite cookie
11.13: c:\documents and settings\administrator\cookies\administrator@bs.serving-sys[1].txt (ID = 2330)
11.13: Trovati Spy Cookie: bs.serving-sys cookie
11.13: c:\documents and settings\administrator\cookies\administrator@bravenet[2].txt (ID = 2322)
11.13: Trovati Spy Cookie: bravenet cookie
11.13: c:\documents and settings\administrator\cookies\administrator@a[1].txt (ID = 2027)
11.13: Trovati Spy Cookie: a cookie
11.13: c:\documents and settings\administrator\cookies\administrator@azjmp[2].txt (ID = 2270)
11.13: Trovati Spy Cookie: azjmp cookie
11.13: c:\documents and settings\administrator\cookies\administrator@atwola[2].txt (ID = 2255)
11.13: c:\documents and settings\administrator\cookies\administrator@at.atwola[2].txt (ID = 2256)
11.13: Trovati Spy Cookie: atwola cookie
11.13: c:\documents and settings\administrator\cookies\administrator@askmen[1].txt (ID = 2247)
11.13: Trovati Spy Cookie: askmen cookie
11.13: c:\documents and settings\administrator\cookies\administrator@as-us.falkag[1].txt (ID = 2650)
11.13: c:\documents and settings\administrator\cookies\administrator@aptimus[2].txt (ID = 2233)
11.13: Trovati Spy Cookie: aptimus cookie
11.13: c:\documents and settings\administrator\cookies\administrator@anad.tacoda[2].txt (ID = 6445)
11.13: Trovati Spy Cookie: tacoda cookie
11.13: c:\documents and settings\administrator\cookies\administrator@alt[1].txt (ID = 2217)
11.13: Trovati Spy Cookie: alt cookie
11.13: c:\documents and settings\administrator\cookies\administrator@affiliate[1].txt (ID = 2199)
11.13: Trovati Spy Cookie: affiliate cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adultfriendfinder[2].txt (ID = 2165)
11.13: Trovati Spy Cookie: adultfriendfinder cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adtech[1].txt (ID = 2155)
11.13: Trovati Spy Cookie: adtech cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adserver[1].txt (ID = 2141)
11.13: Trovati Spy Cookie: adserver cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adserver.adreactor[2].txt (ID = 2087)
11.13: Trovati Spy Cookie: adreactor cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads20.hyperbanner[1].txt (ID = 2816)
11.13: Trovati Spy Cookie: hyperbanner cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads20.bpath[2].txt (ID = 2321)
11.13: c:\documents and settings\administrator\cookies\administrator@ads16.bpath[2].txt (ID = 2321)
11.13: Trovati Spy Cookie: bpath cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads.tripod.lycos[2].txt (ID = 2133)
11.13: Trovati Spy Cookie: ads.tripod.lycos.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads.pointroll[1].txt (ID = 3148)
11.13: Trovati Spy Cookie: pointroll cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads.cdfreaks[1].txt (ID = 2371)
11.13: Trovati Spy Cookie: cd freaks cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ads.addynamix[2].txt (ID = 2062)
11.13: Trovati Spy Cookie: addynamix cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adrevservice[1].txt (ID = 2091)
11.13: Trovati Spy Cookie: adrevservice cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adopt.specificclick[2].txt (ID = 3400)
11.13: Trovati Spy Cookie: specificclick.com cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adlegend[1].txt (ID = 2074)
11.13: Trovati Spy Cookie: adlegend cookie
11.13: c:\documents and settings\administrator\cookies\administrator@adecn[2].txt (ID = 2063)
11.13: Trovati Spy Cookie: adecn cookie
11.13: c:\documents and settings\administrator\cookies\administrator@ad9.bannerbank[1].txt (ID = 2281)
11.13: Trovati Spy Cookie: bannerbank cookie
11.13: c:\documents and settings\administrator\cookies\administrator@about[2].txt (ID = 2037)
11.13: Trovati Spy Cookie: about cookie
11.13: c:\documents and settings\administrator\cookies\administrator@aa[2].txt (ID = 2029)
11.13: Trovati Spy Cookie: aa cookie
11.13: c:\documents and settings\administrator\cookies\administrator@a.as-eu.falkag[1].txt (ID = 2650)
11.13: Trovati Spy Cookie: falkag cookie
11.13: c:\documents and settings\administrator\cookies\administrator@2o7[2].txt (ID = 1957)
11.13: Trovati Spy Cookie: 2o7.net cookie
11.13: c:\documents and settings\administrator\cookies\administrator@276[1].txt (ID = 1955)
11.13: Trovati Spy Cookie: 276 cookie
11.13: c:\documents and settings\administrator\cookies\administrator@247realmedia[1].txt (ID = 1953)
11.13: Trovati Spy Cookie: 247realmedia cookie
11.13: c:\documents and settings\administrator\cookies\administrator@190[2].txt (ID = 1935)
11.13: Trovati Spy Cookie: 190dotcom cookie
11.13: c:\documents and settings\administrator\cookies\administrator@127.0.0[1].txt (ID = 3281)
11.13: c:\documents and settings\administrator\cookies\administrator@0[6].txt (ID = 3282)
11.13: c:\documents and settings\administrator\cookies\administrator@0[4].txt (ID = 3282)
11.13: c:\documents and settings\administrator\cookies\administrator@0[3].txt (ID = 3282)
11.13: c:\documents and settings\administrator\cookies\administrator@0[2].txt (ID = 3282)
11.13: c:\documents and settings\administrator\cookies\administrator@0[1].txt (ID = 3282)
11.13: Trovati Spy Cookie: sandboxer cookie
11.13: Avvio scansione cookie in corso
11.12: Scansione del Registro di sistema completata. Tempo trascorso:00.00.32
11.12: HKU\S-1-5-18\software\medialoads\ (ID = 1580540)
11.12: HKU\S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping\ || {ffb51760-344e-4ffb-bfff-4b18c7ac1d63} (ID = 139398)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\medialoads\ (ID = 1580540)
11.12: Trovati Adware: great net downloadware
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\main\ || search page_bak (ID = 774883)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\extensions\cmdmapping\ || {000007c6-17df-4438-92a4-de5537471ba3} (ID = 530423)
11.12: Trovati Adware: sidesearch
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\extensions\cmdmapping\ || {ffb51760-344e-4ffb-bfff-4b18c7ac1d63} (ID = 139398)
11.12: Trovati Adware: ricerchefacili
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\toolbar\webbrowser\ || {b195b3b3-8a05-11d3-97a4-0004aca6948e} (ID = 127587)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\toolbar\shellbrowser\ || {b195b3b3-8a05-11d3-97a4-0004aca6948e} (ID = 127585)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\explorer bars\{ff6b2fd5-093c-4d4f-bb98-5641130a9de6}\ (ID = 127574)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\toolbar\webbrowser\ || {825cf5bd-8862-4430-b771-0c15c5ca8def} (ID = 125745)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\main\ || search page_bak (ID = 115925)
11.12: HKU\S-1-5-21-1645522239-412668190-839522115-500\software\microsoft\internet explorer\main\ || search bar_bak (ID = 115924)
11.12: Trovati Adware: cws-aboutblank
11.12: HKLM\system\currentcontrolset\services\google online search service\ (ID = 4397839)
11.12: HKLM\software\classes\clsid\{f250d521-225d-4d6b-8829-e064f944e180}\ (ID = 1863360)
11.12: HKCR\clsid\{f250d521-225d-4d6b-8829-e064f944e180}\ (ID = 1863357)
11.12: HKLM\software\classes\clsid\{e3a77057-d10b-b02a-d823-22e020c583b5}\ (ID = 1597455)
11.12: HKCR\clsid\{e3a77057-d10b-b02a-d823-22e020c583b5}\ (ID = 1597453)
11.12: Trovati Adware: linkoptimizer
11.12: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/olepro32.dll\ || {e8edb60c-951e-4130-93dc-faf1ad25f8e7} (ID = 956097)
11.12: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/msvcrt.dll\ || {e8edb60c-951e-4130-93dc-faf1ad25f8e7} (ID = 956095)
11.12: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/mfc42.dll\ || {e8edb60c-951e-4130-93dc-faf1ad25f8e7} (ID = 956093)
11.12: HKLM\software\microsoft\windows\currentversion\run\ || connector (ID = 928585)
11.12: Trovati Adware: comforest dialer
11.12: HKLM\software\gator.com\trickler\ (ID = 724440)
11.12: HKLM\software\gator.com\gator\ (ID = 724411)
11.12: HKLM\software\gatortest\ (ID = 639280)
11.12: HKLM\software\gator.com\ (ID = 528933)
11.11: HKCR\typelib\{4767c447-ef15-42f2-8809-68adb7fa76f1}\ (ID = 136181)
11.11: HKLM\software\classes\typelib\{4767c447-ef15-42f2-8809-68adb7fa76f1}\ (ID = 136154)
11.11: HKLM\software\classes\interface\{4438a5dc-e00b-41a0-b0e6-b63fd3b86eee}\ (ID = 136147)
11.11: HKCR\interface\{4438a5dc-e00b-41a0-b0e6-b63fd3b86eee}\ (ID = 136074)
11.11: Trovati Adware: networkessentials
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\unidist.ocx (ID = 135372)
11.11: Trovati Adware: multidial
11.11: HKLM\software\classes\clsid\{204f937e-519e-4597-96fa-8f1f59f3cb6d}\ (ID = 127413)
11.11: HKCR\clsid\{204f937e-519e-4597-96fa-8f1f59f3cb6d}\ (ID = 127250)
11.11: Trovati Adware: hotbar/zango
11.11: HKLM\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}\ (ID = 126751)
11.11: HKCR\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}\ (ID = 126731)
11.11: Trovati Adware: gain - common components
11.11: HKLM\software\microsoft\windows\currentversion\internet settings\user agent\post platform\ || iebar (ID = 125752)
11.11: HKLM\software\microsoft\internet explorer\toolbar\ || {825cf5bd-8862-4430-b771-0c15c5ca8def} (ID = 125743)
11.11: HKLM\software\classes\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}\ (ID = 125724)
11.11: HKLM\software\classes\clsid\{825cf5bd-8862-4430-b771-0c15c5ca8def}\ (ID = 125722)
11.11: HKLM\software\classes\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}\ (ID = 125717)
11.11: HKCR\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}\ (ID = 125694)
11.11: HKCR\clsid\{825cf5bd-8862-4430-b771-0c15c5ca8def}\ (ID = 125692)
11.11: HKCR\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}\ (ID = 125687)
11.11: Trovati Adware: elitebar
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\admprog.dll (ID = 103524)
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\admfdi.dll (ID = 103523)
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\admdloader.dll (ID = 103522)
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\admdata.dll (ID = 103521)
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\adm4.dll (ID = 103520)
11.11: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\system32\adm.exe (ID = 103519)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/admprog.dll\ (ID = 103511)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/admfdi.dll\ (ID = 103510)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/admdloader.dll\ (ID = 103509)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/admdata.dll\ (ID = 103508)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/adm4.dll\ (ID = 103507)
11.11: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/system32/adm.exe\ (ID = 103506)
11.11: Trovati Adware: altnet
11.11: HKCR\typelib\{a41c6220-6f42-4646-b119-fbe6f4d38e3c}\ (ID = 102483)
11.11: HKCR\clsid\{d1b80ebf-1a26-4fec-b0b9-dcb934c6507e}\ (ID = 102481)
11.11: HKCR\accesmembre.loader\ (ID = 102480)
11.11: HKCR\accesmembre.loader.1\ (ID = 102479)
11.11: Trovati Adware: accessmember
11.11: Avvio scansione Registro di sistema in corso
11.11: Scansione della memoria completata. Tempo trascorso: 00.05.59
11.05: Avvio scansione memoria in corso
11.05: HKLM\system\currentcontrolset\services\google online search service\ || imagepath (ID = 4397838)
11.05: Trovati Trojan Horse: trojan-downloader-tipikit
11.05: Avvia scansione completa
11.05: Scansione avviata utilizzando la versione delle definizioni 1314
Programma di registrazione dei tasti: Disattivato
11.05: Informativo: ShieldEmail: Start monitoring port 25 for mail activities
Allegato posta elettronica: Attivato
11.05: Informativo: ShieldEmail: Start monitoring port 110 for mail activities
Schermo BHO: Attivato
Schermo protezione IE: Attivato
Schermo Esecuzione flusso ADS (Alternate Data Stream): Attivato
Schermo di avvio: Attivato
Siti pubblicitari comuni: Disattivato
Schermo file Hosts: Attivato
Schermo Comunicazione Internet: Attivato
Schermo ActiveX.: Attivato
Schermo Servizio Windows Messenger: Attivato
Schermo Preferiti IE:: Attivato
Schermo file system: Attivato
Schermo esecuzione: Attivato
Schermo servizi di sistema: Attivato
Schermo Cattura IE: Attivato
Schermo Cookie di rilevamento IE: Disattivato
11.04: Stati degli schermi
11.04: Verifica stato licenza (0): Complimenti
11.04: Definizioni di spyware: 1314
11.04: Spy Sweeper 5.5.7.124 avviato
11.04: Spy Sweeper 5.5.7.124 avviato
11.04: | Avvio della sessione, sabato 25 ottobre 2008 |
***************


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.59.06, on 25/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\programmi\quicktime\qttask.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SxgTkBar.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\FCM\FCMLoad.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ilmeteo.it/index2.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {532E3F16-C2ED-3209-9850-D2EBCC525C8C} - C:\WINDOWS\danku1.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\ShellExt\CNPS.EXE -n
O4 - HKLM\..\Run: [GMTZDJQWH] C:\WINDOWS\GMTZDJQWH.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programmi\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [Amfgc] C:\Program Files\Yzhhanv\Jouguu.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe"
O4 - HKCU\..\Run: [PlugIn] C:\WINDOWS\System32/plugin.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk = C:\Programmi\FCM\FCMLoad.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: &Define - C:\WINDOWS\Web\ERS_DEF.HTM
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download with Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Look Up in &Encyclopedia - C:\WINDOWS\Web\ERS_ENC.HTM
O8 - Extra context menu item: Scarica con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.68737075.com/connect/virgban ... nect4x.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://tky09.celartem.com/en/download/d ... _it_IT.cab
O16 - DPF: {3A471221-E332-4240-A709-C6D087007ADE} - http://members.yodahosting.com/inforete/Login.exe
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} (Loader Class) - http://dialup.carpediem.fr/CABS/cd/1,0, ... Membre.cab
O16 - DPF: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - http://www.download-italia.com/060A005.exe
O18 - Protocol: bw+0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {4BC68902-F64B-4769-B257-16D6D0E6CF87} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\WM\MySQL-4.0.16\bin\mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 20585 bytes
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda ste_95 » sab ott 25, 2008 11:18 am

Seleziona a sinistra queste voci, e premi in basso il pulsante Fix Checked:

O2 - BHO: Class - {532E3F16-C2ED-3209-9850-D2EBCC525C8C} - C:\WINDOWS\danku1.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\ShellExt\CNPS.EXE -n
O4 - HKLM\..\Run: [GMTZDJQWH] C:\WINDOWS\GMTZDJQWH.exe
O4 - HKCU\..\Run: [PlugIn] C:\WINDOWS\System32/plugin.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.68737075.com/connect/virgban ... nect4x.exe
O16 - DPF: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - http://www.download-italia.com/060A005.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\danku1.dll
C:\WINDOWS\GMTZDJQWH.exe
C:\WINDOWS\System32\ShellExt\CNPS.EXE
C:\WINDOWS\System32\plugin.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger riporta un errore, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda crazy.cat » sab ott 25, 2008 11:41 am

kuabba82 ha scritto:Cercando un po' ho trovato Spysweeper, installato la trial e fatto la scansione, ovviamente senza abbonamento non potevo rimuovere nulla,

Ma scaricati malwarebytes o superantispyware in versione freeware e scansioni con rimozione garantita.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 11:54 am

ste_95 ha scritto:Seleziona a sinistra queste voci, e premi in basso il pulsante Fix Checked:

O2 - BHO: Class - {532E3F16-C2ED-3209-9850-D2EBCC525C8C} - C:\WINDOWS\danku1.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\ShellExt\CNPS.EXE -n
O4 - HKLM\..\Run: [GMTZDJQWH] C:\WINDOWS\GMTZDJQWH.exe
O4 - HKCU\..\Run: [PlugIn] C:\WINDOWS\System32/plugin.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.68737075.com/connect/virgban ... nect4x.exe
O16 - DPF: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - http://www.download-italia.com/060A005.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\danku1.dll
C:\WINDOWS\GMTZDJQWH.exe
C:\WINDOWS\System32\ShellExt\CNPS.EXE
C:\WINDOWS\System32\plugin.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger riporta un errore, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.


Se posso permettermi, tutto ciò che mi hai segnato li ho da molto tempo. In pratica sono rimasugli di infezioni passate che non ho mai fixato per tenerle sotto controllo e vedere se si ripresentano. Per cui i files che mi segnala l'antivirus non dipendono da quelle cose.
Ho fatto una scansione anche con spybot, ma a parte che mi faceva uscire gli avvisi dell'antivirus ogni secondo non mi ha trovato nulla.
Adesso faccio una scansione con gmer e con i programmi che mi ha consigliato crazy.cat e vi posto i log, al limite faccio anche una scansione con kaspersky, ma sto cominciando a credere che siano o falsi positivi o dovuti alle ultime definizioni di Panda...

Edit: vi posto il log di gmaer sezione autostart. Sto facendo quello della sezione rootkit, appena finito lo posto.

GMER 1.0.12.12086 - http://www.gmer.net
Autostart scan 2008-10-25 12:55:46
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Creative Service for CDROM Access /*Creative Service for CDROM Access*/@ = C:\WINDOWS\System32\CTsvcCDA.exe
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
NVSvc /*NVIDIA Driver Helper Service*/@ = %SystemRoot%\System32\nvsvc32.exe
PAVSRV /*Panda anti-virus service*/@ = C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\System32\wdfmgr.exe
vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
WebDfd /*WebDfd*/@ = "C:\Programmi\File comuni\System\Cjafw.exe" /*file not found*/
WMDM PMSP Service /*WMDM PMSP Service*/@ = C:\WINDOWS\System32\MsPMSPSv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@zBrowser LauncherC:\Programmi\Logitech\iTouch\iTouch.exe = C:\Programmi\Logitech\iTouch\iTouch.exe
@Logitech UtilityLOGI_MWX.EXE = LOGI_MWX.EXE
@NvCplDaemon"RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup = "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
@nwiz"nwiz.exe" /install = "nwiz.exe" /install
@CTHelperCTHELPER.EXE = CTHELPER.EXE
@UpdRegC:\WINDOWS\UpdReg.EXE = C:\WINDOWS\UpdReg.EXE
@Jet DetectionC:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe = C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
@CloneCDElbyCDFL"C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL = "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
@CloneCDTray"C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe" = "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
@InCDC:\Programmi\Ahead\InCD\InCD.exe = C:\Programmi\Ahead\InCD\InCD.exe
@NeroCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@ConnectorC:\WINDOWS\System32\ShellExt\CNPS.EXE -n /*file not found*/ = C:\WINDOWS\System32\ShellExt\CNPS.EXE -n /*file not found*/
@GMTZDJQWHC:\WINDOWS\GMTZDJQWH.exe /*file not found*/ = C:\WINDOWS\GMTZDJQWH.exe /*file not found*/
@QuickTime Task"C:\programmi\quicktime\qttask.exe" -atboottime = "C:\programmi\quicktime\qttask.exe" -atboottime
@mmtaskc:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe /*file not found*/ = c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe /*file not found*/
@SpeedTouch USB Diagnostics"C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon = "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
@SCANINICIO"C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe" = "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
@APVXDWIN"C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s = "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
@SxgTkBarSxgTkBar.exe = SxgTkBar.exe
@AmfgcC:\Program Files\Yzhhanv\Jouguu.exe /*file not found*/ = C:\Program Files\Yzhhanv\Jouguu.exe /*file not found*/
@Zone Labs Client"C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" = "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
@UnlockerAssistant"C:\Programmi\Unlocker\UnlockerAssistant.exe" /*file not found*/ = "C:\Programmi\Unlocker\UnlockerAssistant.exe" /*file not found*/

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\System32\ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
@LDMC:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
@mRouterConfig"C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe" = "C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe"
@PlugInC:\WINDOWS\System32/plugin.exe /*file not found*/ = C:\WINDOWS\System32/plugin.exe /*file not found*/
@msnmsgr"C:\Programmi\MSN Messenger\msnmsgr.exe" /background = "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
@updateMgr"C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1 = "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
@{FED7043D-346A-414D-ACD7-550D052499A7} /*dBpowerAMP Music Converter 1*/C:\Programmi\Illustrate\dBpowerAMP\dBShell.dll = C:\Programmi\Illustrate\dBpowerAMP\dBShell.dll
@{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} /*dBpowerAMP Music Converter*/C:\Programmi\Illustrate\dBpowerAMP\dMCShell.dll = C:\Programmi\Illustrate\dBpowerAMP\dMCShell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealOne Player\rpshell.dll = C:\Programmi\Real\RealOne Player\rpshell.dll
@{B8323370-FF27-11D2-97B6-204C4F4F5020} /*SmartFTP Shell Extension DLL*/C:\Programmi\SmartFTP\smarthook.dll /*file not found*/ = C:\Programmi\SmartFTP\smarthook.dll /*file not found*/
@{32A9D769-5B55-4a25-9A62-86B5683FE50A} /*NikonView Drop Extension*/C:\Programmi\Nikon\NkView6\NkvDropExt.dll = C:\Programmi\Nikon\NkView6\NkvDropExt.dll
@{661825E5-B9A4-4D3E-8B74-3B6B63C32A80} /*Shell Extensions for The Font Creator Program*/(null) =
@{8F2357C8-6CFC-43E0-9EF2-7129F1DE6CAC} /*ERCUTIL Menu Extension*/(null) =
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
iO@{C14F7681-33D8-11D3-A09B-00500402F30B} = C:\Programmi\iO\iomenu.dll /*file not found*/
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
BullGuard Antivirus v4@{B5FB6487-7E79-4816-B73B-8A65E41971DA} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{000123B4-9B42-4900-B3F7-F4B073EFC214}C:\Programmi\Orbitdownloader\orbitcth.dll = C:\Programmi\Orbitdownloader\orbitcth.dll
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{532E3F16-C2ED-3209-9850-D2EBCC525C8C}C:\WINDOWS\danku1.dll /*file not found*/ = C:\WINDOWS\danku1.dll /*file not found*/
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll = C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
bw+0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw+0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw-0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw-0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw00@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw00s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw10@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw10s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw20@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw20s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw30@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw30s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw40@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw40s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw50@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw50s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw60@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw60s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw70@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw70s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw80@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw80s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw90@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bw90s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwa0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwa0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwb0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwb0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwc0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwc0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwd0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwd0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwe0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwe0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwf0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwf0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwfile-8876480@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
bwg0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwg0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwh0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwh0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwi0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwi0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwj0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwj0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwk0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwk0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwl0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwl0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwm0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwm0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwn0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwn0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwo0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwo0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwp0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwp0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwq0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwq0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwr0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwr0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bws0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bws0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwt0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwt0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwu0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwu0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwv0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwv0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bww0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bww0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwx0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwx0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwy0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwy0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwz0@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
bwz0s@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
offline-8876480@CLSID = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\System32\wiascr.dll

C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica = Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
Logitech Desktop Messenger.lnk = Logitech Desktop Messenger.lnk
NkvMon.exe.lnk = NkvMon.exe.lnk
PCSuiteperNokia6600 Detect.lnk = PCSuiteperNokia6600 Detect.lnk
PCSuiteperNokia6600 TS.lnk = PCSuiteperNokia6600 TS.lnk

---- EOF - GMER 1.0.12 ----
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 1:10 pm

Ho finito anche quello della sezione rootkit...mi pare non ci sia nulla, che dite?

Inoltre ho notato che l'antivirus mi faceva apparire avvisi solo quando gmer o spybot arrivavano a scansionare proprio quei files. Magari mentre navigavo qualcosa li ha toccati e l'antivirus me li ha notificati, forse con le ultime definizioni scaricate ieri. Adesso nonostante non abbia rimosso nulla non appaiono più messaggi, ma penso che sarebbe meglio essere sicuri di non aver nulla...

P.S. lo allego qui perché contiene troppi caratteri e non me lo accetta...
http://kuabba82.altervista.org/_altervista_ht/log_gmer_rootkit.txt
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda ste_95 » sab ott 25, 2008 1:23 pm

I log di GMER son puliti. Quindi non hai più problemi?

Se posso permettermi, tutto ciò che mi hai segnato li ho da molto tempo. In pratica sono rimasugli di infezioni passate che non ho mai fixato per tenerle sotto controllo e vedere se si ripresentano.

Assolutamente, non siamo un regime dittatoriale. Ma non mi sembra un grande ragionamento tenere delle voci infette nel computer, così, non credi?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 2:01 pm

Ma quindi i file rilevati da SpySweeper non hai provato a rimuovere nemmeno manualmente?

Intanto fai la scansione con Malwarebytes e posta qui il report, così vediamo se li avrà rimossi lui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 2:04 pm

ste_95 ha scritto:I log di GMER son puliti. Quindi non hai più problemi?

Se posso permettermi, tutto ciò che mi hai segnato li ho da molto tempo. In pratica sono rimasugli di infezioni passate che non ho mai fixato per tenerle sotto controllo e vedere se si ripresentano.

Assolutamente, non siamo un regime dittatoriale. Ma non mi sembra un grande ragionamento tenere delle voci infette nel computer, così, non credi?


No, semplicemente essendo roba vecchia so che non possono essere quelli i files che hanno causato queste infezioni.

Poi come hai detto tu i log di gmer sono puliti, spybot non mi ha trovato nulla, hijackthis oltre a quelli da te citati non ha nient'altro di strano che non conosca già, quindi secondo me si è trattato di qualcosa che navigando è andato a toccare quei files che probabilmente erano già sul pc e sono comunque infetti, ma non essendoci nulla di attivo in memoria che li usi non sono pericolosi. Resta da capire come sia possibile una cosa del genere e rimane l'incognita del log di spysweeper che mi ha comunque trovato un paio di trojan, anche se non capisco a quali files si riferisca.
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 2:12 pm

kuabba82 ha scritto:rimane l'incognita del log di spysweeper che mi ha comunque trovato un paio di trojan, anche se non capisco a quali files si riferisca.

Amantide ha scritto:Ma quindi i file rilevati da SpySweeper non hai provato a rimuovere nemmeno manualmente?

Intanto fai la scansione con Malwarebytes e posta qui il report, così vediamo se li avrà rimossi lui.

Se questa scansione non risolverà il problema, ti dirò come e cosa rimuovere manualmente.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 2:32 pm

Guarda ho provato questo malwarebyte, ma ogni volta che scansiona uno di quei file che ho postato prima mi appare solo la notifica del mio antivirus, e negli elementi infetti di malwarebyte non viene segnato niente, per cui penso sia inutile. Oltretutto mi si è anche bloccato e ho dovuto chiuderlo dal task manager...
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 2:37 pm

Ok, allora, prima di tutto disattiva l'antivirus.
Poi scarica il ComboFix da qui ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 3:21 pm

Ok qualcosa ha tolto, ma non so se ha tolto qualcosa in più, e non so se ha tolto tutti i file infetti. Qui c'è il log:

ComboFix 08-10-24.02 - Administrator 2008-10-25 15.54.55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1040.18.107 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Administrator\Desktop\pincopallino.exe
* Creato nuovo punto di ripristino
* Resident AV is active


ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc\script0.html
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc\script1.html
C:\Programmi\INSTALL.LOG
C:\Programmi\MyWay
C:\WINDOWS\bi.dll
C:\WINDOWS\didduid.ini
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\im64.dll
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GOOGLE_ONLINE_SEARCH_SERVICE
-------\Legacy_NPF
-------\Service_Google Online Search Service
-------\Service_NPF


((((((((((((((((((((((((( Files Creati Da 2008-09-25 al 2008-10-25 )))))))))))))))))))))))))))))))))))
.

2008-10-25 15:10 . 2008-10-25 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Malwarebytes
2008-10-25 15:10 . 2008-10-25 15:10 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Malwarebytes
2008-10-25 11:04 . 2008-10-25 11:04 <DIR> d-------- C:\Documents and Settings\LocalService\Dati applicazioni\Webroot
2008-10-25 11:03 . 2008-10-25 11:03 <DIR> d-------- C:\Programmi\Webroot
2008-10-25 11:02 . 2008-10-25 11:02 164 --a------ C:\install.dat
2008-10-18 12:09 . 2008-10-18 12:09 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\TomTom
2008-10-18 12:09 . 2008-10-18 12:09 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\TomTom
2008-10-18 11:27 . 2008-10-18 11:27 <DIR> d-------- C:\Programmi\TomTom HOME 2
2008-10-04 11:48 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-27 16:51 . 2008-09-27 16:51 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Stellarium
2008-09-26 15:38 . 2008-09-26 16:52 26 --a------ C:\WINDOWS\gd3-iml2iso.INI
2008-09-25 14:34 . 2008-09-25 14:34 <DIR> d-------- C:\Programmi\AudacityPortable

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 14:05 194,152,021 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-25 09:52 --------- d-----w C:\Programmi\FCM
2008-10-24 16:19 --------- d-----w C:\Documents and Settings\Administrator\Dati applicazioni\uTorrent
2008-10-23 10:36 98,317 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_10_23_11_48_34_small.dmp.zip
2008-10-23 10:35 1,856,000 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-23 09:02 --------- d-----w C:\Programmi\FileZillaPortable
2008-10-22 17:50 --------- d---a-w C:\Programmi\eMule0.49b
2008-10-21 13:14 --------- d-----w C:\Documents and Settings\Administrator\Dati applicazioni\Orbit
2008-10-18 10:18 --------- d-----w C:\Programmi\PoigpsGo
2008-10-08 13:29 652,152 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-10-06 12:52 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-10-04 09:48 --------- d-----w C:\Programmi\Java
2008-09-29 08:22 --------- d-----w C:\Programmi\FirefoxPortable
2008-09-26 09:53 --------- d-----w C:\Programmi\DVD Decrypter
2008-09-25 07:37 3,354,112 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-09-25 07:37 1,814,016 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-09-24 12:17 --------- d-----w C:\Documents and Settings\Administrator\Dati applicazioni\vlc
2008-09-24 10:28 --------- d-----w C:\Programmi\7-ZipPortable
2008-09-22 10:29 1,584 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2008-09-22 10:29 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-09-22 08:56 99,402 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_09_21_13_08_54_small.dmp.zip
2008-09-19 18:00 --------- d-----w C:\Programmi\eRightSoft
2008-08-30 15:40 --------- d-----w C:\Programmi\EVEREST.Ultimate.Edition v4.50.1478 Full
2008-08-28 09:24 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-08-28 09:19 --------- d-----w C:\Programmi\TeaTimer (Spybot - Search & Destroy)
2008-08-21 13:45 94,896 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_21_15_20_54_small.dmp.zip
2008-08-21 13:43 3,009,536 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-07 12:22 100,531 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_07_13_58_13_small.dmp.zip
2008-08-07 12:21 3,914,240 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2005-05-14 08:41 56 --sh--r C:\WINDOWS\system32\4E4B52C810.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-10 13312]
"LDM"="C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2005-11-22 36864]
"mRouterConfig"="C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe" [2004-02-11 278528]
"msnmsgr"="C:\Programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"updateMgr"="C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="C:\Programmi\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 4841472]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]
"Jet Detection"="C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 28672]
"CloneCDElbyCDFL"="C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"CloneCDTray"="C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-12-02 73728]
"InCD"="C:\Programmi\Ahead\InCD\InCD.exe" [2002-09-12 1101824]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\programmi\quicktime\qttask.exe" [2004-01-10 98304]
"SpeedTouch USB Diagnostics"="C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" [2003-09-05 878080]
"SCANINICIO"="C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe" [2003-06-18 20480]
"APVXDWIN"="C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" [2004-04-29 299008]
"Zone Labs Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 968696]
"Logitech Utility"="LOGI_MWX.EXE" [2002-11-08 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2003-07-28 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2003-06-09 C:\WINDOWS\system32\CTHELPER.EXE]
"SxgTkBar"="SxgTkBar.exe" [2001-07-11 C:\WINDOWS\system32\Sxgtkbar.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-10 13312]

C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - C:\Programmi\FCM\FCMLoad.exe [2005-07-05 61503]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-10 113664]
Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Logitech Desktop Messenger.lnk - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-11-22 196608]
NkvMon.exe.lnk - C:\Programmi\Nikon\NkView6\NkvMon.exe [2004-08-16 237568]
PCSuiteperNokia6600 Detect.lnk - C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe [2004-10-26 196608]
PCSuiteperNokia6600 TS.lnk - C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe [2004-10-26 258112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\System32\ctmp3.acm
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"VIDC.I420"= i420vfw.dll
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programmi\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 9344]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-09-13 448640]
R3 SOFTXG;YAMAHA XG WDM SoftSynthesizer;C:\WINDOWS\System32\drivers\sxgxgwdm.sys [2001-10-05 966784]
S2 WebDfd;WebDfd;C:\Programmi\File comuni\System\Cjafw.exe [ ]
S4 PAVFIRES;Panda Firewall Service;C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe [2004-04-05 151552]
.
- - - - ORFÃOS REMOVIDOS - - - -

BHO-{532E3F16-C2ED-3209-9850-D2EBCC525C8C} - C:\WINDOWS\danku1.dll
HKCU-Run-PlugIn - C:\WINDOWS\System32/plugin.exe
HKLM-Run-Connector - C:\WINDOWS\System32\ShellExt\CNPS.EXE
HKLM-Run-GMTZDJQWH - C:\WINDOWS\GMTZDJQWH.exe
HKLM-Run-mmtask - c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
HKLM-Run-Amfgc - C:\Program Files\Yzhhanv\Jouguu.exe
HKLM-Run-UnlockerAssistant - C:\Programmi\Unlocker\UnlockerAssistant.exe


.
------- Supplementare di scansione -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.it/
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
O8 -: &Define - C:\WINDOWS\Web\ERS_DEF.HTM
O8 -: &Download by Orbit - C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 -: &Grab video by Orbit - C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 -: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM
O8 -: Do&wnload selected by Orbit - C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 -: Down&load all by Orbit - C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 -: Download with Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: Look Up in &Encyclopedia - C:\WINDOWS\Web\ERS_ENC.HTM
O8 -: Scarica con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {3A471221-E332-4240-A709-C6D087007ADE} - hxxp://members.yodahosting.com/inforete/Login.exe

O16 -: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - hxxp://www.download-italia.com/060A005.exe
C:\WINDOWS\Downloaded Program Files\060A005.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 16:06:02
Windows 5.1.2600 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WebDfd]
"ImagePath"="\"C:\Programmi\File comuni\System\Cjafw.exe\""
.
------------------------ Altri processi in esecuzione ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Panda Software\Panda Antivirus Platinum\Pavsrv51.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\Avengine.exe
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\Pavproxy.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Ora fine scansione: 2008-10-25 16:19:16 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-10-25 14:19:11

Pre-Run: 25.248.104.448 byte disponibili
Post-Run: 25,301,442,560 byte disponibili

208


P.S. come disinstallo questo programma?

Edit: inoltre mi trovo con alcuni problemi dopo questa scansione. Mi trovo 2 processi i meno, solo che uno è relativo ad un programma di fantacalcio e non è importante, me la vedo io, l'altro è C:\WINDOWS\System32\nvsvc32.exe che dovrebbe essere relativo ai driver della mia scheda nvidia!
Inoltre ho l'audio della scheda audio basso, e il programma Creative audio HQ non riesco più ad aprirlo perché crasha!
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 4:02 pm

Scarica The Avenger, estrailo in una cartella ed avvia il file avenger.exe.
Incolla il seguente spript nello spazio bianco sotto alla voce Input script here, togli la spunta alla voce Scan for rootkits e clicca su Execute.

Codice: Seleziona tutto
files to delete:
C:\windows\system32\in3.dll
C:\Windows\Downloaded program files\calciom.exe
C:\WINDOWS\system32\4E4B52C810.sys
C:\Programmi\File comuni\System\Cjafw.exe
C:\WINDOWS\Downloaded Program Files\060A005.exe
C:\WINDOWS\inf\biini.inf
C:\WINDOWS\LastGood\Downloaded Program Files\UniDist.inf
C:\WINDOWS\inf\Belt.inf
C:\WINDOWS\inf\satmat.inf
C:\WINDOWS\satmat.ini
C:\WINDOWS\inf\bi.inf
C:\WINDOWS\GatorPdpSetup.log
C:\WINDOWS\svchost.dll
C:\WINDOWS\system32\Lycos.dll
C:\Programmi\DivX\DivX Pro Codec\gain_trickler_3202.exe
C:\WINDOWS\system32\ss_msi1_setup.exe
c:\documents and settings\administrator\impostazioni locali\temp\pxr2.tmp
c:\windows\downloaded program files\unidist.ocx

drivers to unload:
WebDfd


Il pc dovrebbe riavviarsi, se così non fosse, riavvialo manualmente.
Al riavvio dovrebbe apparire il log avenger.txt, posta qui il suo contenuto.

Quello che ho indicato io non è tutto da rimuovere,purtroppo mi ci vorranno delle ore per riportare nel log tutte le chiavi del registro infetti.
Ti consiglio di disabilitare l'antivirus e rifare la scansione completa con Malwarebyts.


Per rimuovere Combofix non devi fare altro che eliminare la cartella di backup C:\qoobox. Assicurati prima che i file rimossi con Combofix siano davvero infetti e che non avrai il bisogno di ripristinare i file "backupati".
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 4:10 pm

kuabba82 ha scritto:Edit: inoltre mi trovo con alcuni problemi dopo questa scansione. Mi trovo 2 processi i meno, solo che uno è relativo ad un programma di fantacalcio e non è importante, me la vedo io, l'altro è C:\WINDOWS\System32\nvsvc32.exe che dovrebbe essere relativo ai driver della mia scheda nvidia!
Inoltre ho l'audio della scheda audio basso, e il programma Creative audio HQ non riesco più ad aprirlo perché crasha!

Come ti avevo appena scritto, tutti i file e le voci di registro rimossi da Combofix si trovano nella cartella c:\qoobox e possono essere ripristinati.

I file che ha rimosso Combofix sono questi
Codice: Seleziona tutto
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc\script0.html
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\sc\script1.html
C:\Programmi\INSTALL.LOG
C:\Programmi\MyWay
C:\WINDOWS\bi.dll
C:\WINDOWS\didduid.ini
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\im64.dll
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll

...tra quali c'è anche nvsvc32.exe

Ci sono 2 ipotesi perché lo abbia fatto: 1. si è preso un abbaglio e si tratta di un falso positivo; 2. il file è stato infettato da qualche malware, che è molto probabile.

Trova nella cartella qoobox i file che dici che mancano ora, scansionali uno ad uno su www.virustotal.com, e se risulteranno essere puliti - ripristinali.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 4:19 pm

Allora...il file della scheda video l'ho ripristinato reinstallando i driver, e sembra tutto a posto. Il programma del fantacalcio non è nel log, quindi non capisco perché non vada più, però più tardi provo a reinstallarlo.

Per l'audio...il volume sembra essere basso, e un po' appannato. Il programma Audio HQ, che pure questo non era stato toccato da combofix, mi crasha prima ancora di avviarsi, quindi ho provato a reinstallarlo. Dopo però ho constatato che comunque non funziona...e pure settando l'audio a dovere dall'altro programma della scheda audio (tra l'altro mi dà 4.1 invece delle casse 5.1) è comunque più basso e appannato di prima.

Adesso provo avenger, inserisco pure gli altri files che mi trova infetti. e poi ti faccio sapere.
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 4:30 pm

Ci sono molteplici malware che infettano i processi in esecuzione automatica, quelli che partono all'avvio e tra quali ci sono proprio sia il driver nvidia che i driver della scheda audio.
Se anche il tuo programma di fantacalcio si avviava insieme al windows, allora bingo... direi che sia proprio così.
Per toglierti ogni dubbio, scansiona su www.virustotal.com il file nvsvc32.exe che trovi nella cartella qoobox, se risulterà essere infetto, allora hai fatto bene a reinstallare i driver Nvidia e quindi dovrai reinstallare anche altri programmi che hanno smesso di funzionare.
Fammi sapere.

P.S.

Cerca nella cartella di Malwarebytes il report della scansione e controlla anche la cartella di quarantena, perché anche se non hai terminato la scansione, qualcosa può aver rimosso e noi non lo sappiamo.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 4:37 pm

Amantide ha scritto:Ci sono molteplici malware che infettano i processi in esecuzione automatica, quelli che partono all'avvio e tra quali ci sono proprio sia il driver nvidia che i driver della scheda audio.
Se anche il tuo programma di fantacalcio si avviava insieme al windows, allora bingo... direi che sia proprio così.
Per toglierti ogni dubbio, scansiona su http://www.virustotal.com il file nvsvc32.exe che trovi nella cartella qoobox, se risulterà essere infetto, allora hai fatto bene a reinstallare i driver Nvidia e quindi dovrai reinstallare anche altri programmi che hanno smesso di funzionare.
Fammi sapere.

P.S.

Cerca nella cartella di Malwarebytes il report della scansione e controlla anche la cartella di quarantena, perché anche se non hai terminato la scansione, qualcosa può aver rimosso e noi non lo sappiamo.


Dunque...ho inviato il file nvsvc32.exe che mi aveva eliminato, e nessun antivirus ha trovato infezioni.
Per la scheda audio, io ho reinstallato anche quel programma ma crasha lo stesso. Il programma di fantacalcio pure si avviava in automatico ma non è quello il problema.

Poi...malwarebytes lo avevo disinstallato dopo che è crashato...quindi non posso dirti nulla a riguardo.

Ah inoltre ho lanciato the avenger, si è riavviato il pc ma non c'è nessun log...come faccio a vedere se ha funzionato?
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 4:48 pm

Il log di avenger lo trovi in c:\avenger\avenger.txt
Per il Malwarebytes, guarda se in giro è rimasta la sua cartella con qualche file dentro.

Per fare una visione generale della situazione di adesso, puoi fare la scansione con Kaspersky online ed allegare qui il report?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda kuabba82 » sab ott 25, 2008 4:57 pm

Il log c'è ma è vuoto.
Non c'è nessuna traccia di malwarebyte, purtroppo.
E purtroppo i files infetti a mano non me li fa cancellare...
Adesso provo kaspersky online e ti faccio sapere.
Avatar utente
kuabba82
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: mar mag 01, 2007 11:37 am
Località: Napoli

Re: Aiutatemi a debellare un'infezione multipla!!!

Messaggioda Amantide » sab ott 25, 2008 5:04 pm

kuabba82 ha scritto:Adesso provo kaspersky online e ti faccio sapere.

Ok, allora riproviamo con Avenger dopo aver visionato il report di kaspersky online.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising