Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Windows Vista devastato da Vundo

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Windows Vista devastato da Vundo

Messaggioda Fred » mer dic 10, 2008 6:49 pm

Salve a tutti, qualche giorno fa ho comprato un portatile Acer Apire 5230 con windows vista preinstallato e senza CD del sistema operativo.
Oggi, per colpa di McAfee che ho appurato essere per nulla valido come AV e men che meno come FW, sono stato colpito da Vundo. Il trojan, neppure rilevato dai sistemi della M$ e da McAfee, l'ho rimosso in modalità provvisoria con Malwarebyte's. Il PC ora mi sembra pulito ma windows è stato devastato. Ecco i "sintomi":
1) Dopo aver digitato la password passano diversi minuti mentre il "cerchietto" gira. Poi tutto diventa nero e la CPU resta all'1% (posso aprire la task manager) ed il processo explorer.exe è attivo assieme ad altri 4-5 processi. Dopo un totale di 4:34 minuti la CPU comincia a lavorare, l'HDD viene letto, e tutto si avvia senza problemi in tempi normalissimi.
2) Appena avuto accesso completo al sistema dalla systemtray esce un fumetto che mi informa che un servizio è disabilitato e che quindi gli utenti senza diritti di amministratore non possono accedere al sistema.
4) Windows firewall è disabilitato e non si riabilita
5) Se provo a vedere le connessioni dall'icona della systemtray esce un messaggio che dice "Stato connessione: sconosciuto | Avvio del gruppo o del servizio di dipendenza non riuscito.
Qualcuno ha qualche idea su come fare a risolvere la questione? Per favore è urgente perché io dovrei fare una ricerca da quel portatile.
Grazie a tutti
[ciao]
Ultima modifica di ba_61 il mer dic 10, 2008 7:28 pm, modificato 1 volta in totale.
Motivazione: Spostato
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Re: Windows Vista devastato da Vundo

Messaggioda Fred » mer dic 10, 2008 7:22 pm

Anche guida in linea e supporto tecnico è fuori uso
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Re: Windows Vista devastato da Vundo

Messaggioda Fred » mer dic 10, 2008 9:28 pm

Su internet ho trovato il "Vista Recovery Disk" ma l'unica lingua che posso selezionare è quella inglese. Qualcuno conosce una versione italiana del predetto disco? Inoltre: io vista 32 bit ma il processore è a 64 bit, quale versione devo scaricare?
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe


Re: Windows Vista devastato da Vundo

Messaggioda gioia271965 » gio dic 11, 2008 7:53 am

potresti provare ad installare il superantispyware (magari in versione italiana) che contiene, al suo interno, una funzione di ripristino completa di tutto il sistema operativo. naturalmente è un tentativo.... [uhm]
"Nulla di finito, nemmeno l'intero mondo, può soddisfare l'animo umano che sente il bisogno dell'eterno"
Avatar utente
gioia271965
Silver Member
Silver Member
 
Messaggi: 1422
Iscritto il: ven ott 24, 2008 9:40 am
Località: Taranto

Re: Windows Vista devastato da Vundo

Messaggioda crazy.cat » gio dic 11, 2008 8:29 am

Fred ha scritto:con windows vista preinstallato e senza CD del sistema operativo.

Ma ci doveva essere la possibilità di creartene uno appena avviato il pc. Adesso è tardi...

Fred ha scritto:Su internet ho trovato il "Vista Recovery Disk" ma l'unica lingua che posso selezionare è quella inglese.

Non ti serve per i tuoi problemi, se è quello che penso io.

Fred ha scritto:1) Dopo aver digitato la password passano diversi minuti mentre il "cerchietto" gira

nel visualizzatore eventi ci sono errori che corrispondono a quei minuti di attesa?

Codice: Seleziona tutto
2) Appena avuto accesso completo al sistema dalla systemtray esce un fumetto che mi informa che un servizio è disabilitato e che quindi gli utenti senza diritti di amministratore non possono accedere al sistema.

Con il Megalabcd potresti crearti un nuovo utente amministratore per riavere accesso al pc. Oltre a fare qualche altra scansione antivirus e andare a modificare il registro di configurazione

Codice: Seleziona tutto
4) Windows firewall è disabilitato e non si riabilita

Poco male...

Hai attivo i punti di ripristino del sistema?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Windows Vista devastato da Vundo

Messaggioda Fred » gio dic 11, 2008 3:00 pm

Ieri sera ho smanettato fino a mezzanotte e un quarto e poi ho finito oggi tornato da scuola. Ho usato i punti di ripristino per sistemare un po' la situazione del SO, rimosso McAfee e installato Antivir professional che, appena aggiornato, ha fatto fuori "iifDVomN.dll". Poi oggi, dopo un aggiornamento di vista, il programma per la rimozione del malaware di windows ha (tutto da solo senza che io dicessi nulla) rimosso Vundo. Ora il problema è che ogni volta che avvio il sistema mi compare un messaggio che dice:
Codice: Seleziona tutto
RunDLL
Errore durante il caricamento di C:\Users\Emiliano\AppData\Local\Temp\iifDVomN.dll Impossibile trovare il modulo specificato

Detto questo credo ci sia ancora qualche residuo di malaware. Qui sotto posto il log di hijackthis ed in futuro posterò quello di malwarebytes'.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.00.59, on 11/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Users\Emiliano\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Emiliano\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... spire_5230
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACA ... spire_5230
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\partner.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.415.1646\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Emiliano\AppData\Local\Temp\iifDVomN.dll,c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF3595FE-E047-430D-B74C-635CE0B790F4}: NameServer = 192.168.1.1,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{C48BF61E-A082-428D-AC0E-3CB4E97368F0}: NameServer = 85.37.17.16 85.38.28.68
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: Partner Service - Google Inc. - c:\programdata\partner\partner.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8600 bytes

Qualcuno sa dirmi cosa dovrei fixare? Grazie [ciao]
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Re: Windows Vista devastato da Vundo

Messaggioda Amantide » gio dic 11, 2008 3:27 pm

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Windows Vista devastato da Vundo

Messaggioda Fred » gio dic 11, 2008 4:14 pm

Ora proverò a seguire il consiglio di Amantide. Intanto ecco cosa trova malwarebytes'.
Codice: Seleziona tutto
Malwarebytes' Anti-Malware 1.31
Versione del database: 1483
Windows 6.0.6001 Service Pack 1

11/12/2008 16.11.34
mbam-log-2008-12-11 (16-11-21).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 44124
Tempo trascorso: 2 minute(s), 50 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 9
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\kt_bho.kettlebho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\kt_bho.kettlebho.1 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service (Trojan.Agent) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\ProgramData\Partner\partner.dll (Trojan.BHO) -> No action taken.
C:\ProgramData\Partner\partner.exe (Trojan.Agent) -> No action taken.

E' tutta roba da cancellare o c'è qualche falso positivo? Lo chiedo perché l'ultima volta ho dovuto usare i punti di ripristino (vedi sopra)
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Re: Windows Vista devastato da Vundo

Messaggioda Amantide » gio dic 11, 2008 4:22 pm

A parte questi che non so cosa siano, altri sono sicuramente da eliminare:
C:\ProgramData\Partner\partner.dll (Trojan.BHO) -> No action taken.
C:\ProgramData\Partner\partner.exe (Trojan.Agent) -> No action taken.

Se questo Partner non sei stato tu ad installare, rimuovilo tranquillamente.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Windows Vista devastato da Vundo

Messaggioda Fred » gio dic 11, 2008 4:45 pm

Il mio dubbio era proprio su quei due... Comunque ecco cosa dice ComboFix.
Codice: Seleziona tutto
ComboFix 08-12-09.03 - Emiliano 2008-12-11 16.20.58.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1040.18.1781 [GMT 1:00]
Eseguito da: c:\users\Emiliano\Downloads\ComboFix.exe
 * Creato nuovo punto di ripristino
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\w32apiw.dll

.
(((((((((((((((((((((((((   Files Creati Da 2008-11-11 al 2008-12-11  )))))))))))))))))))))))))))))))))))
.

2008-12-11 16:17 . 2008-12-11 16:17   <DIR>   d--h-c---   c:\windows\PIF
2008-12-11 14:47 . 2008-09-03 04:59   468,992   --a--c---   c:\windows\System32\newdev.dll
2008-12-11 14:47 . 2008-09-03 04:58   74,752   --a--c---   c:\windows\System32\newdev.exe
2008-12-11 13:48 . 2008-12-11 13:48   118   --a--c---   c:\windows\System32\MRT.INI
2008-12-11 13:44 . 2008-10-22 02:22   2,048   --a--c---   c:\windows\System32\tzres.dll
2008-12-11 00:20 . 2008-12-03 19:52   38,496   --a--c---   c:\windows\System32\drivers\mbamswissarmy.sys
2008-12-11 00:20 . 2008-12-03 19:52   15,504   --a--c---   c:\windows\System32\drivers\mbam.sys
2008-12-11 00:04 . 2008-10-09 13:25   1,221,008   --a--c---   c:\windows\System32\zpeng25.dll
2008-12-11 00:04 . 2008-02-23 05:38   170,496   --a--c---   c:\windows\System32\tcpipcfg.dll
2008-12-11 00:04 . 2008-02-23 03:41   22,528   --a--c---   c:\windows\System32\netiougc.exe
2008-12-10 23:57 . 2008-12-11 15:00   <DIR>   d----c---   c:\windows\System32\ZoneLabs
2008-12-10 23:57 . 2008-12-11 14:50   352,606   --ah-c---   c:\windows\System32\drivers\vsconfig.xml
2008-12-10 23:57 . 2008-10-09 13:25   293,776   --a--c---   c:\windows\System32\drivers\vsdatant.sys
2008-12-10 23:50 . 2008-12-10 23:50   0   --ah-----   C:\ntuser.dat.LOG2
2008-12-10 23:50 . 2008-12-10 23:50   0   --ah-----   C:\ntuser.dat.LOG1
2008-12-10 23:50 . 2008-12-10 23:50   0   --a------   C:\ntuser.dat
2008-12-10 23:05 . 2008-12-10 23:05   71,280   --a--c---   c:\windows\System32\GDIPFONTCACHEV1.DAT
2008-12-10 18:12 . 2008-12-10 18:12   <DIR>   d----c---   c:\program files\Zone Labs
2008-12-10 18:11 . 2008-12-10 18:11   <DIR>   d----c---   c:\users\All Users\CheckPoint
2008-12-10 18:11 . 2008-12-10 18:11   <DIR>   d----c---   c:\programdata\CheckPoint
2008-12-10 17:27 . 2008-12-11 16:25   <DIR>   d----c---   c:\windows\Internet Logs
2008-12-10 17:26 . 2008-12-10 18:07   <DIR>   d----c---   c:\users\All Users\Avira
2008-12-10 17:26 . 2008-12-10 18:07   <DIR>   d----c---   c:\programdata\Avira
2008-12-10 17:26 . 2008-12-10 17:26   <DIR>   d----c---   c:\program files\Avira
2008-12-10 16:23 . 2008-12-10 16:23   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\Malwarebytes
2008-12-10 16:23 . 2008-12-10 16:23   <DIR>   d----c---   c:\users\All Users\Malwarebytes
2008-12-10 16:23 . 2008-12-10 16:23   <DIR>   d----c---   c:\programdata\Malwarebytes
2008-12-10 16:23 . 2008-12-11 00:20   <DIR>   d----c---   c:\program files\Malwarebytes' Anti-Malware
2008-12-08 21:37 . 2008-12-08 21:37   <DIR>   d----c---   c:\users\All Users\ALM
2008-12-08 21:37 . 2008-12-08 21:37   <DIR>   d----c---   c:\programdata\ALM
2008-12-08 21:22 . 2008-12-08 21:22   <DIR>   d----c---   c:\program files\QuickTime
2008-12-08 21:00 . 2008-12-08 21:00   <DIR>   d----c---   c:\program files\Common Files\Macrovision Shared
2008-12-08 20:54 . 2008-12-08 20:54   <DIR>   d----c---   c:\program files\Ext2Fsd
2008-12-07 16:49 . 2008-12-07 16:55   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\FileZilla
2008-12-07 16:49 . 2008-12-07 16:49   <DIR>   d----c---   c:\program files\FileZilla FTP Client
2008-12-07 16:15 . 2008-12-07 16:15   0   --ah-c---   c:\windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-12-07 15:42 . 2008-12-07 15:42   <DIR>   d----c---   c:\program files\CCleaner
2008-12-07 15:41 . 2008-12-07 15:42   <DIR>   d----c---   c:\program files\Defraggler
2008-12-07 15:37 . 2008-12-07 15:37   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\nCleaner
2008-12-07 15:36 . 2008-12-07 15:36   <DIR>   d----c---   c:\program files\NKProds
2008-12-06 16:57 . 2008-12-06 17:01   <DIR>   d----c---   c:\users\Emiliano\amsn
2008-12-06 16:56 . 2008-12-06 16:56   <DIR>   d----c---   c:\program files\aMSN
2008-12-05 23:31 . 2008-12-05 23:31   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\eSobi
2008-12-05 23:29 . 2008-12-05 23:29   <DIR>   d----c---   c:\program files\MSXML 4.0
2008-12-05 23:23 . 2008-08-05 10:49   428,544   --a--c---   c:\windows\System32\EncDec.dll
2008-12-05 23:23 . 2008-08-05 10:49   293,376   --a--c---   c:\windows\System32\psisdecd.dll
2008-12-05 23:23 . 2008-08-05 10:48   217,088   --a--c---   c:\windows\System32\psisrndr.ax
2008-12-05 23:23 . 2008-08-05 10:48   177,664   --a--c---   c:\windows\System32\mpg2splt.ax
2008-12-05 23:23 . 2008-08-05 10:48   80,896   --a--c---   c:\windows\System32\MSNP.ax
2008-12-05 23:23 . 2008-04-23 05:41   57,856   --a--c---   c:\windows\System32\MSDvbNP.ax
2008-12-05 23:22 . 2008-06-26 02:45   12,240,896   --a--c---   c:\windows\System32\NlsLexicons0007.dll
2008-12-05 23:22 . 2008-06-26 02:45   2,644,480   --a--c---   c:\windows\System32\NlsLexicons0009.dll
2008-12-05 23:21 . 2008-06-26 04:29   801,280   --a--c---   c:\windows\System32\NaturalLanguage6.dll
2008-12-05 23:19 . 2008-09-18 06:09   3,601,464   --a--c---   c:\windows\System32\ntkrnlpa.exe
2008-12-05 23:18 . 2008-04-10 06:12   738,304   --a--c---   c:\windows\System32\inetcomm.dll
2008-12-05 23:12 . 2008-09-10 04:40   1,334,272   --a--c---   c:\windows\System32\msxml6.dll
2008-12-05 23:03 . 2008-10-16 22:13   1,809,944   --a--c---   c:\windows\System32\wuaueng.dll
2008-12-05 23:03 . 2008-10-16 21:56   1,524,736   --a--c---   c:\windows\System32\wucltux.dll
2008-12-05 23:03 . 2008-10-16 22:09   51,224   --a--c---   c:\windows\System32\wuauclt.exe
2008-12-05 23:03 . 2008-10-16 22:09   43,544   --a--c---   c:\windows\System32\wups2.dll
2008-12-05 23:02 . 2008-10-16 22:12   561,688   --a--c---   c:\windows\System32\wuapi.dll
2008-12-05 23:02 . 2008-10-16 14:08   162,064   --a--c---   c:\windows\System32\wuwebv.dll
2008-12-05 23:02 . 2008-10-16 21:55   83,456   --a--c---   c:\windows\System32\wudriver.dll
2008-12-05 23:02 . 2008-10-16 22:08   34,328   --a--c---   c:\windows\System32\wups.dll
2008-12-05 23:02 . 2008-10-16 13:56   31,232   --a--c---   c:\windows\System32\wuapp.exe
2008-12-05 22:37 . 2008-12-05 22:37   0   --a--c---   c:\windows\nsreg.dat
2008-12-05 20:32 . 2008-12-05 20:32   <DIR>   d----c---   c:\windows\Roaming
2008-12-05 20:32 . 2008-12-05 20:32   <DIR>   d----c---   c:\users\All Users\Motive
2008-12-05 20:32 . 2008-12-05 20:32   <DIR>   d----c---   c:\programdata\Motive
2008-12-05 20:31 . 2008-12-05 20:32   <DIR>   d----c---   c:\program files\Common Files\Motive
2008-12-05 16:31 . 2008-12-11 14:50   65,536   -----c---   c:\windows\System32\Ikeext.etl
2008-12-05 16:21 . 2008-12-05 16:21   <DIR>   d----c---   c:\users\Emiliano\Option
2008-12-05 16:09 . 2008-12-05 16:09   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\CyberLink
2008-12-05 14:13 . 2008-12-05 14:13   <DIR>   dr---c---   c:\users\Emiliano\Searches
2008-12-05 14:13 . 2008-12-05 14:13   <DIR>   dr---c---   c:\users\Emiliano\Contacts
2008-12-05 14:13 . 2008-12-05 14:13   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\ATI
2008-12-05 14:12 . 2008-12-11 08:02   <DIR>   d----c---   c:\users\All Users\Partner
2008-12-05 14:12 . 2008-12-05 14:12   <DIR>   d----c---   c:\users\All Users\Google
2008-12-05 14:12 . 2008-12-11 08:02   <DIR>   d----c---   c:\programdata\Partner
2008-12-05 14:12 . 2008-12-08 16:10   <DIR>   d----c---   c:\program files\Google
2008-12-05 14:11 . 2008-12-05 14:13   <DIR>   dr---c---   c:\users\Emiliano\Videos
2008-12-05 14:11 . 2008-12-06 16:38   <DIR>   dr---c---   c:\users\Emiliano\Saved Games
2008-12-05 14:11 . 2008-12-07 18:40   <DIR>   dr---c---   c:\users\Emiliano\Pictures
2008-12-05 14:11 . 2008-12-05 14:13   <DIR>   dr---c---   c:\users\Emiliano\Music
2008-12-05 14:11 . 2008-12-05 14:13   <DIR>   dr---c---   c:\users\Emiliano\Links
2008-12-05 14:11 . 2008-12-11 16:16   <DIR>   dr---c---   c:\users\Emiliano\Downloads
2008-12-05 14:11 . 2008-12-09 15:57   <DIR>   dr---c---   c:\users\Emiliano\Documents
2008-12-05 14:11 . 2006-11-02 13:37   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\Media Center Programs
2008-12-05 14:11 . 2008-06-26 15:45   <DIR>   d----c---   c:\users\Emiliano\AppData\Roaming\Acer GameZone Console
2008-12-05 14:11 . 2008-12-05 14:13   <DIR>   d--h-c---   c:\users\Emiliano\AppData
2008-12-05 14:11 . 2008-12-11 14:47   <DIR>   d----c---   c:\users\Emiliano
2008-12-05 14:11 . 2008-12-05 14:11   <DIR>   d----c---   C:\ACERSW
2008-12-05 14:07 . 2008-12-05 14:07   <DIR>   dr-------   c:\windows\System32\config\systemprofile\Contacts

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-11 13:48   442,368   -c--a-w   c:\windows\Internet Logs\xDBE975.tmp
2008-12-11 12:50   ---------   dc----w   c:\program files\Windows Mail
2008-12-10 22:14   ---------   dc----w   c:\programdata\McAfee
2008-12-10 22:03   ---------   dc----w   c:\programdata\SiteAdvisor
2008-12-08 20:43   ---------   dc----w   c:\program files\Common Files\Adobe
2008-12-06 17:46   ---------   dc--a-w   c:\programdata\Temp
2008-12-05 20:50   ---------   dc-h--w   c:\program files\InstallShield Installation Information
2008-12-05 13:11   ---------   dc----w   c:\program files\Acer
2008-12-05 13:07   ---------   d-sh--w   c:\programdata\Preferiti
2008-12-05 13:07   ---------   d-sh--w   c:\programdata\Modelli
2008-12-05 13:07   ---------   d-sh--w   c:\programdata\Menu Avvio
2008-12-05 13:07   ---------   d-sh--w   c:\programdata\Documenti
2008-12-05 13:07   ---------   d-sh--w   c:\programdata\Dati applicazioni
2008-12-05 13:07   ---------   d-sh--w   c:\program files\File comuni
2008-11-04 20:13   952,320   -c--a-w   c:\windows\system32\drivers\athr.sys
2008-11-01 03:44   541,696   -c--a-w   c:\windows\AppPatch\AcLayers.dll
2008-11-01 03:44   52,736   -c--a-w   c:\windows\AppPatch\iebrshim.dll
2008-11-01 03:44   460,288   -c--a-w   c:\windows\AppPatch\AcSpecfc.dll
2008-11-01 03:44   28,672   -c--a-w   c:\windows\System32\Apphlpdm.dll
2008-11-01 03:44   2,154,496   -c--a-w   c:\windows\AppPatch\AcGenral.dll
2008-11-01 03:44   173,056   -c--a-w   c:\windows\AppPatch\AcXtrnal.dll
2008-11-01 01:21   4,240,384   -c--a-w   c:\windows\System32\GameUXLegacyGDFs.dll
2008-10-29 22:19   ---------   dc----w   c:\programdata\CyberLink
2008-10-29 22:19   ---------   dc----w   c:\program files\Acer GameZone
2008-10-29 22:14   ---------   dc----w   c:\program files\Acer Incorporated
2008-10-29 22:13   ---------   dc----w   c:\program files\Acer Arcade Deluxe
2008-10-29 22:05   0   -c-ha-w   c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2008-10-29 22:05   ---------   dc----w   c:\program files\Apoint2K
2008-10-29 22:05   ---------   dc----w   c:\program files\Acer Inc
2008-10-29 22:04   ---------   dc----w   c:\program files\Launch Manager
2008-10-29 06:29   2,927,104   -c--a-w   c:\windows\explorer.exe
2008-10-22 03:57   241,152   -c--a-w   c:\windows\System32\PortableDeviceApi.dll
2008-10-21 05:25   296,960   -c--a-w   c:\windows\System32\gdi32.dll
2008-10-21 05:25   1,645,568   -c--a-w   c:\windows\System32\connect.dll
2008-10-16 04:47   827,392   -c--a-w   c:\windows\System32\wininet.dll
2008-09-30 15:43   1,286,152   -c--a-w   c:\windows\System32\msxml4.dll
2008-09-18 05:09   3,549,240   -c--a-w   c:\windows\System32\ntoskrnl.exe
2008-09-18 04:56   147,456   -c--a-w   c:\windows\System32\Faultrep.dll
2008-09-18 04:56   125,952   -c--a-w   c:\windows\System32\wersvc.dll
2008-09-18 02:16   2,032,640   -c--a-w   c:\windows\System32\win32k.sys
2008-01-21 02:43   174   --sha-w   c:\program files\desktop.ini
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2008-12-05 14:12   157168   --a--c---   c:\programdata\Partner\partner.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-05-14 16:05   121392   --a------   c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-05-09 397312]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 526896]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-06-10 780808]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-05-12 147456]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-05-12 167936]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2008-05-12 167936]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-10-09 981904]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-28 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Users^Emiliano^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Orion.lnk]
path=c:\users\Emiliano\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Orion.lnk
backup=c:\windows\pss\Orion.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a--c--- 2007-03-08 03:38 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
--a------ 2008-04-25 20:36 28672 c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2008-12-05 14:12 24064 c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{5E798415-E714-4D08-83B1-ADB3224A141C}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{A82DD4BC-98B0-414B-960D-780DB6812638}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{46769EC3-BFC4-4FBE-A900-5309E6395D62}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{484B91F1-DFD2-4283-846F-EF015C4111DF}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{CF480E07-D6F2-4DE5-A8C1-69A8D1F0B4A8}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{EDC55ACC-0ACD-42BB-9245-7D105517B917}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{D850021C-E7CE-46B8-8295-009F82D33D3C}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C1251028-509C-4C31-AC82-81398EA0F21E}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{4BC796E0-0880-4110-A936-CCF1FCE7276D}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{EF53BE9F-82BA-411D-B2A0-632CDCD74D46}"= c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{320030D7-FC62-4A2B-A88F-EE9744AD166D}"= c:\program files\Acer Arcade Deluxe\PlayMovie\PlayMovie.exe:Acer Play Movie
"{44751B29-39F3-4ABF-B4D7-66F12E59CD56}"= c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe:Acer Play Movie Resident Program
"{285B84B8-DB00-4782-B672-C7D948E4F0A6}"= c:\program files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:Acer HomeMedia

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};\??\c:\program files\Acer Arcade Deluxe\PlayMovie\[u]0[/u]00.fcl [2008-10-29 23:12:20 61424]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;"c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-12-10 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;"c:\program files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-12-10 258305]
R2 AVEService;Avira AntiVir Premium MailGuard helper service;"c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-12-10 41217]
R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;"c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe" [2008-03-03 16384]
R2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-10-29 81504]
R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-06-26 24576]
R2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056]
R2 NTIPPKernel;NTIPPKernel;\??\c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys [2008-10-29 122368]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-06-26 22072]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;"c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-12-05 24064]
S3 Partner Service;Partner Service;"c:\programdata\partner\partner.exe" [2008-12-05 110576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d1ec201d-a603-11dd-aaad-806e6f6e6963}]
\shell\AutoRun\command - E:\umenu.exe

*Newly Created Service* - PROCEXP90
.
- - - - ORFÃOS REMOVIDOS - - - -

HKLM-Run-eRecoveryService - (no file)
MSConfigStartUp-AliceRV_McciTrayApp - c:\program files\Alice ti aiuta\McciTrayApp.exe


.
------- Supplementare di scansione -------
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=2&o=vp32&d=1008&m=aspire_5230
mStart Page = hxxp://it.intl.acer.yahoo.com
LSP: avsda.dll
TCP: {AF3595FE-E047-430D-B74C-635CE0B790F4} = 192.168.1.1,212.216.112.112
TCP: {C48BF61E-A082-428D-AC0E-3CB4E97368F0} = 85.37.17.16 85.38.28.68
FireFox -: Profile - c:\users\Emiliano\AppData\Roaming\Mozilla\Firefox\Profiles\8kcdpby9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - chrome://speeddial/content/speeddial.xul
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-11 16:32:27
Windows 6.0.6001 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-12-11 16.39.20
ComboFix-quarantined-files.txt  2008-12-11 15:39:10

Pre-Run: 43.156.328.448 byte disponibili
Post-Run: 44,860,522,496 byte disponibili

259   --- E O F ---   2008-12-11 13:48:06

Idee? [ciao]
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Re: Windows Vista devastato da Vundo

Messaggioda crazy.cat » gio dic 11, 2008 4:49 pm

Questo devi fixare nel log di hijackthis
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Emiliano\AppData\Local\Temp\iifDVomN.dll,c

Non usare il tag (code] per il log ma usa [log] l'ultimo pulsante che vedi a destra.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Windows Vista devastato da Vundo

Messaggioda Amantide » gio dic 11, 2008 5:06 pm

crazy.cat ha scritto:Questo devi fixare nel log di hijackthis
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Emiliano\AppData\Local\Temp\iifDVomN.dll,c

L'avrà già fatto con Malwarebytes:
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> No action taken.


Nel log di Combofix non si vede nient'altro, quindi il pc ora dovrebbe essere pulito.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Windows Vista devastato da Vundo

Messaggioda Fred » gio dic 11, 2008 5:54 pm

crazy.cat ha scritto:Questo devi fixare nel log di hijackthis
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Emiliano\AppData\Local\Temp\iifDVomN.dll,c

Non usare il tag (code] per il log ma usa [log] l'ultimo pulsante che vedi a destra.

Si, a quello ci ha già pensato Malwarebytes'.
Ok, la prossima volta userò il tag [log], scusa per l'errore.

Se anche ComboFix non rileva nulla allora sembra che il problema sia risolto! In effetti ora non mi vengono più proposte connessioni strane. Grazie a tutti per l'aiuto che mi avete dato! [ciao]
P.S.: Tanto per puntualizzare: nessuno usi McAfee, neppure con una scansione diretta del file infetto ha rilevato Vundo [:p] [nonono] [uhm]

Di nuovo grazie a tutti
[ciao]
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising