Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Log di HijackThis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Log di HijackThis

Messaggioda ilSignorCarlo » mer dic 17, 2008 4:51 pm

Salve a tutti,
sono nuovo del forum.

Oggi, su un computer che solitamente usa mia madre l'utilizzo della cpu è schizzato quasi al 100%, improvvisamente. Controllando fra i processi attivi ho notato uno strano a.exe, così è iniziata la mia ricerca. Dopo un po' di tentativi credo di essere riuscito a rimuoverlo, ma mi sono accorto di avere (probabilmente) diversi altri problemi.

AVG prima ha trovato uno o due virus, ma forse li ha rimossi, ma facendo altre scansioni con altri software ho riscontrato altri problemi. Ho provato a usare RegRun, che veniva consigliato in una delle pagine relative a un trojan, ma mi sembra che non riesca a rimuoverli tutti. Durante le ricerche sono capitato su questo forum e mi sono deciso a chiedere aiuto.

Ho visto che tipicamente chiedete di postare il log di HijackThis, quindi ecco il mio:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.36.23, on 17/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\system32\mgabg.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programmi\Customizer XP\RAM_2K.exe
E:\WINDOWS\vsnpstd.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\msiexec.exe
E:\Programmi\Mozilla Firefox\firefox.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RAM Idle] E:\Programmi\Customizer XP\RAM_2K.exe
O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] E:\Programmi\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] E:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll
O16 - DPF: {0EC4C9E3-EC6A-11CF-8E3B-444553540000} (WaveTab Control) - file://G:\setup\RiffLick.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - E:\WINDOWS\system32\mgabg.exe

--
End of file - 4406 bytes


Grazie in anticipo per l'aiuto :D
Avatar utente
ilSignorCarlo
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer dic 17, 2008 4:41 pm

Re: Log di HijackThis

Messaggioda Amantide » mer dic 17, 2008 6:08 pm

Ciao e benvenuto [:)]
Purtroppo con gli ultimi malware il log di Hiackthis è poco utile.

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Log di HijackThis

Messaggioda ilSignorCarlo » mer dic 17, 2008 6:37 pm

Amantide ha scritto:Ciao e benvenuto [:)]
Purtroppo con gli ultimi malware il log di Hiackthis è poco utile.


Ok, grazie :D

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.


Ecco il contenuto del file:

ComboFix 08-12-16.03 - Carlo Trimarchi 2008-12-17 18.22.44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.1023.426 [GMT 1:00]
Eseguito da: e:\documents and settings\Carlo Trimarchi\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\documents and settings\Carlo Trimarchi\Dati applicazioni\gadcom
e:\documents and settings\Carlo Trimarchi\Impostazioni locali\Temporary Internet Files\fbk.sts

.
((((((((((((((((((((((((( Files Creati Da 2008-11-17 al 2008-12-17 )))))))))))))))))))))))))))))))))))
.

2008-12-17 17:09 . 2008-12-17 17:09 97,928 --a------ e:\windows\system32\drivers\avgldx86.sys
2008-12-17 17:09 . 2008-12-17 17:09 10,520 --a------ e:\windows\system32\avgrsstx.dll
2008-12-17 17:08 . 2008-12-17 17:10 <DIR> d-------- e:\windows\system32\drivers\Avg
2008-12-17 17:08 . 2008-12-17 17:08 <DIR> d-------- e:\programmi\AVG
2008-12-17 17:08 . 2008-12-17 17:08 <DIR> d-------- e:\documents and settings\All Users\Dati applicazioni\avg8
2008-12-17 16:36 . 2008-12-17 16:36 <DIR> d-------- e:\programmi\Trend Micro
2008-12-17 16:30 . 2008-12-17 16:30 44 --a------ e:\windows\system32\Partizan.RRI
2008-12-17 16:26 . 2008-12-17 16:26 126,976 --a------ E:\zip.exe
2008-12-17 16:26 . 2008-12-17 16:26 60,416 --a------ e:\windows\system32\drivers\fhrnawam.sys
2008-12-17 16:26 . 2008-12-17 16:26 1,080 --a------ E:\uyjqxncw.bat
2008-12-17 15:47 . 2008-12-17 16:28 25,773 --a------ e:\windows\system32\drivers\regguard.sys
2008-12-17 15:47 . 2008-12-17 15:47 (2) -rahs-ot- e:\windows\winstart.bat
2008-12-17 15:44 . 2008-12-17 15:44 <DIR> d-------- e:\programmi\Greatis
2008-12-17 14:09 . 2008-12-17 14:10 <DIR> d-------- e:\documents and settings\All Users\Dati applicazioni\Lavasoft
2008-12-17 13:43 . 2008-12-17 13:43 <DIR> d-------- e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Uniblue
2008-12-14 20:32 . 2008-07-26 23:56 210,432 --a------ e:\windows\system32\ifsdrives.dll
2008-12-14 20:32 . 2008-09-25 17:35 181,120 --a------ e:\windows\system32\drivers\ext2fs.sys
2008-12-14 20:32 . 2007-12-16 18:27 74,752 --a------ e:\windows\system32\ifsdrives.cpl
2008-12-14 20:32 . 2008-08-28 22:45 51,072 --a------ e:\windows\system32\drivers\ifsmount.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-17 17:00 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\OpenOffice.org2
2008-12-17 16:21 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\.purple
2008-12-17 13:09 --------- d-----w e:\programmi\Lavasoft
2008-12-17 13:08 --------- d-----w e:\programmi\File comuni\Wise Installation Wizard
2008-12-17 13:08 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Lavasoft
2008-12-17 12:27 --------- d-----w e:\programmi\PSPad editor
2008-12-17 12:26 --------- d-----w e:\programmi\Mozilla Thunderbird
2008-12-17 12:24 --------- d-----w e:\programmi\Juice
2008-12-17 12:21 --------- d-----w e:\programmi\Java
2008-12-17 12:15 --------- d-----w e:\programmi\ICQLite
2008-12-17 12:14 --------- d-----w e:\programmi\FeedReader30
2008-12-17 12:11 --------- d-----w e:\programmi\Band in a Box
2008-12-17 12:09 --------- d-----w e:\programmi\amsn
2008-12-16 21:47 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\gtk-2.0
2008-12-16 18:37 --------- d-----w e:\programmi\eMule
2008-12-16 10:26 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\uTorrent
2008-12-14 19:01 --------- d-----w e:\programmi\CDisplay
2008-11-08 08:51 --------- d-----w e:\programmi\Notepad++
2008-10-16 13:13 202,776 ----a-w e:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w e:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w e:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w e:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w e:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w e:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w e:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w e:\windows\system32\wups.dll
2006-05-06 16:42 7,260,160 ----a-w e:\programmi\mozilla firefox\plugins\libvlc.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RAM Idle"="e:\programmi\Customizer XP\RAM_2K.exe" [2002-09-05 95232]
"snpstd"="e:\windows\vsnpstd.exe" [2003-12-31 40960]
"AVG8_TRAY"="e:\progra~1\AVG\AVG8\avgtray.exe" [2008-12-17 1261336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programmi\\mIRC\\mirc.exe"=
"e:\\Programmi\\eMule\\emule.exe"=
"e:\\Programmi\\Soulseek\\slsk.exe"=
"e:\\giochi\\nestc042\\NESTCL95.EXE"=
"e:\\giochi\\DOSBox-0.63\\dosbox.exe"=
"e:\\Programmi\\Media Player Classic\\mplayerc.exe"=
"e:\\Programmi\\stickies\\stickies.exe"=
"e:\\Programmi\\iTunes\\iTunes.exe"=
"e:\\Documents and Settings\\Carlo Trimarchi\\Desktop\\utorrent.exe"=
"e:\\Programmi\\Messenger\\msmsgs.exe"=
"e:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"e:\\Programmi\\MSN Messenger\\livecall.exe"=
"e:\\Documents and Settings\\Carlo Trimarchi\\Desktop\\audicle-1.0.0.6\\audicle-1.0.0.6\\bin\\win32\\audicle.exe"=
"e:\\WINDOWS\\system32\\chuck.exe"=
"e:\\Programmi\\Skype\\Phone\\Skype.exe"=
"e:\\Programmi\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;e:\windows\system32\Drivers\avgldx86.sys [2008-12-17 97928]
R1 Ext2fs;Ext2fs;e:\windows\system32\DRIVERS\ext2fs.sys [2008-12-14 181120]
R1 IfsMount;IfsMount;e:\windows\system32\DRIVERS\ifsmount.sys [2008-12-14 51072]
R1 kbfilter;Keyboard Filter Driver;e:\windows\system32\drivers\kbfilter.sys [2005-10-06 11776]
R2 avg8wd;AVG Free8 WatchDog;e:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-12-17 231704]
S0 Partizan;Partizan;e:\windows\system32\drivers\Partizan.sys []
S3 Aehededevdei;Aehededevdei; []
S3 RegGuard;RegGuard;\??\e:\windows\system32\Drivers\regguard.sys [2008-12-17 25773]
S3 Rerialdsddms;Rerialdsddms;e:\windows\system32\drivers\ndistapi.sys [2004-08-19 9600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4af57c0-e963-11d9-9402-00112f411aa2}]
\Shell\AutoRun\command - h:\autoplay\AutoRun.exe

*Newly Created Service* - AVG8WD
*Newly Created Service* - AVGLDX86
*Newly Created Service* - AVGMFX86
*Newly Created Service* - PROCEXP90
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-Uniblue RegistryBooster 2009 - e:\programmi\Uniblue\RegistryBooster\RegistryBooster.exe
ShellExecuteHooks-{F552DDE6-2090-4bf4-B924-6141E87789A5} - (no file)


.
------- Supplementare di scansione -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1;local.,

O16 -: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
e:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

e:\windows\Downloaded Program Files\wavetab.ocx - O16 -: {0EC4C9E3-EC6A-11CF-8E3B-444553540000}
file://g:\setup\RiffLick.cab
e:\windows\Downloaded Program Files\RiffLick.inf
FF - ProfilePath - e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Mozilla\Firefox\Profiles\2grhaudt.default\
FF - prefs.js: browser.search.selectedEngine - De Mauro
FF - plugin: e:\programmi\Mozilla Firefox\plugins\NPBOARDS.dll
FF - plugin: e:\programmi\Mozilla Firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-17 18:27:15
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-12-17 18.29.00
ComboFix-quarantined-files.txt 2008-12-17 17:28:32

Pre-Run: 31.745.675.264 byte disponibili
Post-Run: 33,228,914,688 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

152
Avatar utente
ilSignorCarlo
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer dic 17, 2008 4:41 pm


Re: Log di HijackThis

Messaggioda Amantide » mer dic 17, 2008 10:00 pm

Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
File::
E:\zip.exe
e:\windows\system32\drivers\fhrnawam.sys
E:\uyjqxncw.bat

Driver::
Aehededevdei

Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.

Cos'hai nelle unità H e G? Sono le partizioni o le unità rimovibili?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Log di HijackThis

Messaggioda ilSignorCarlo » mer dic 17, 2008 11:58 pm

Amantide ha scritto:Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
File::
E:\zip.exe
e:\windows\system32\drivers\fhrnawam.sys
E:\uyjqxncw.bat

Driver::
Aehededevdei

Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.


Ecco il log:

ComboFix 08-12-16.03 - Carlo Trimarchi 2008-12-17 23.40.02.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.1023.492 [GMT 1:00]
Eseguito da: e:\documents and settings\Carlo Trimarchi\Desktop\ComboFix.exe
Interruttori di comando utilizzati :: e:\documents and settings\Carlo Trimarchi\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

FILE ::
E:\uyjqxncw.bat
e:\windows\system32\drivers\fhrnawam.sys
E:\zip.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\uyjqxncw.bat
e:\windows\system32\drivers\fhrnawam.sys
E:\zip.exe

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Aehededevdei


((((((((((((((((((((((((( Files Creati Da 2008-11-17 al 2008-12-17 )))))))))))))))))))))))))))))))))))
.

2008-12-17 17:09 . 2008-12-17 17:09 97,928 --a------ e:\windows\system32\drivers\avgldx86.sys
2008-12-17 17:09 . 2008-12-17 17:09 10,520 --a------ e:\windows\system32\avgrsstx.dll
2008-12-17 17:08 . 2008-12-17 17:10 <DIR> d-------- e:\windows\system32\drivers\Avg
2008-12-17 17:08 . 2008-12-17 17:08 <DIR> d-------- e:\programmi\AVG
2008-12-17 17:08 . 2008-12-17 17:08 <DIR> d-------- e:\documents and settings\All Users\Dati applicazioni\avg8
2008-12-17 16:36 . 2008-12-17 16:36 <DIR> d-------- e:\programmi\Trend Micro
2008-12-17 16:30 . 2008-12-17 16:30 44 --a------ e:\windows\system32\Partizan.RRI
2008-12-17 15:47 . 2008-12-17 16:28 25,773 --a------ e:\windows\system32\drivers\regguard.sys
2008-12-17 15:47 . 2008-12-17 15:47 (2) -rahs-ot- e:\windows\winstart.bat
2008-12-17 15:44 . 2008-12-17 15:44 <DIR> d-------- e:\programmi\Greatis
2008-12-17 14:09 . 2008-12-17 14:10 <DIR> d-------- e:\documents and settings\All Users\Dati applicazioni\Lavasoft
2008-12-17 13:43 . 2008-12-17 13:43 <DIR> d-------- e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Uniblue
2008-12-14 20:32 . 2008-07-26 23:56 210,432 --a------ e:\windows\system32\ifsdrives.dll
2008-12-14 20:32 . 2008-09-25 17:35 181,120 --a------ e:\windows\system32\drivers\ext2fs.sys
2008-12-14 20:32 . 2007-12-16 18:27 74,752 --a------ e:\windows\system32\ifsdrives.cpl
2008-12-14 20:32 . 2008-08-28 22:45 51,072 --a------ e:\windows\system32\drivers\ifsmount.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-17 22:45 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\.purple
2008-12-17 17:00 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\OpenOffice.org2
2008-12-17 13:09 --------- d-----w e:\programmi\Lavasoft
2008-12-17 13:08 --------- d-----w e:\programmi\File comuni\Wise Installation Wizard
2008-12-17 13:08 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Lavasoft
2008-12-17 12:27 --------- d-----w e:\programmi\PSPad editor
2008-12-17 12:26 --------- d-----w e:\programmi\Mozilla Thunderbird
2008-12-17 12:24 --------- d-----w e:\programmi\Juice
2008-12-17 12:21 --------- d-----w e:\programmi\Java
2008-12-17 12:15 --------- d-----w e:\programmi\ICQLite
2008-12-17 12:14 --------- d-----w e:\programmi\FeedReader30
2008-12-17 12:11 --------- d-----w e:\programmi\Band in a Box
2008-12-17 12:09 --------- d-----w e:\programmi\amsn
2008-12-16 21:47 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\gtk-2.0
2008-12-16 18:37 --------- d-----w e:\programmi\eMule
2008-12-16 10:26 --------- d-----w e:\documents and settings\Carlo Trimarchi\Dati applicazioni\uTorrent
2008-12-14 19:01 --------- d-----w e:\programmi\CDisplay
2008-11-08 08:51 --------- d-----w e:\programmi\Notepad++
2008-10-16 13:13 202,776 ----a-w e:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w e:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w e:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w e:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w e:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w e:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w e:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w e:\windows\system32\wups.dll
2006-05-06 16:42 7,260,160 ----a-w e:\programmi\mozilla firefox\plugins\libvlc.dll
.

((((((((((((((((((((((((((((( snapshot@2008-12-17_18.28.05,10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w e:\windows\ERDNT\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RAM Idle"="e:\programmi\Customizer XP\RAM_2K.exe" [2002-09-05 95232]
"snpstd"="e:\windows\vsnpstd.exe" [2003-12-31 40960]
"AVG8_TRAY"="e:\progra~1\AVG\AVG8\avgtray.exe" [2008-12-17 1261336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programmi\\mIRC\\mirc.exe"=
"e:\\Programmi\\eMule\\emule.exe"=
"e:\\Programmi\\Soulseek\\slsk.exe"=
"e:\\giochi\\nestc042\\NESTCL95.EXE"=
"e:\\giochi\\DOSBox-0.63\\dosbox.exe"=
"e:\\Programmi\\Media Player Classic\\mplayerc.exe"=
"e:\\Programmi\\stickies\\stickies.exe"=
"e:\\Programmi\\iTunes\\iTunes.exe"=
"e:\\Documents and Settings\\Carlo Trimarchi\\Desktop\\utorrent.exe"=
"e:\\Programmi\\Messenger\\msmsgs.exe"=
"e:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"e:\\Programmi\\MSN Messenger\\livecall.exe"=
"e:\\Documents and Settings\\Carlo Trimarchi\\Desktop\\audicle-1.0.0.6\\audicle-1.0.0.6\\bin\\win32\\audicle.exe"=
"e:\\WINDOWS\\system32\\chuck.exe"=
"e:\\Programmi\\Skype\\Phone\\Skype.exe"=
"e:\\Programmi\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;e:\windows\system32\Drivers\avgldx86.sys [2008-12-17 97928]
R1 Ext2fs;Ext2fs;e:\windows\system32\DRIVERS\ext2fs.sys [2008-12-14 181120]
R1 IfsMount;IfsMount;e:\windows\system32\DRIVERS\ifsmount.sys [2008-12-14 51072]
R1 kbfilter;Keyboard Filter Driver;e:\windows\system32\drivers\kbfilter.sys [2005-10-06 11776]
R2 avg8wd;AVG Free8 WatchDog;e:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-12-17 231704]
S0 Partizan;Partizan;e:\windows\system32\drivers\Partizan.sys []
S3 RegGuard;RegGuard;\??\e:\windows\system32\Drivers\regguard.sys [2008-12-17 25773]
S3 Rerialdsddms;Rerialdsddms;e:\windows\system32\drivers\ndistapi.sys [2004-08-19 9600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4af57c0-e963-11d9-9402-00112f411aa2}]
\Shell\AutoRun\command - h:\autoplay\AutoRun.exe
.
.
------- Supplementare di scansione -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1;local.,

O16 -: Microsoft XML Parser for Java - file://e:\windows\Java\classes\xmldso.cab
e:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

e:\windows\Downloaded Program Files\wavetab.ocx - O16 -: {0EC4C9E3-EC6A-11CF-8E3B-444553540000}
file://g:\setup\RiffLick.cab
e:\windows\Downloaded Program Files\RiffLick.inf
FF - ProfilePath - e:\documents and settings\Carlo Trimarchi\Dati applicazioni\Mozilla\Firefox\Profiles\2grhaudt.default\
FF - prefs.js: browser.search.selectedEngine - De Mauro
FF - plugin: e:\programmi\Mozilla Firefox\plugins\NPBOARDS.dll
FF - plugin: e:\programmi\Mozilla Firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-17 23:47:24
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
e:\programmi\Lavasoft\Ad-Aware\aawservice.exe
e:\windows\system32\mgabg.exe
e:\windows\system32\wdfmgr.exe
e:\windows\system32\wscntfy.exe
e:\programmi\AVG\AVG8\avgrsx.exe
e:\programmi\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Ora fine scansione: 2008-12-17 23:52:56 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-12-17 22:52:53
ComboFix2.txt 2008-12-17 17:29:01

Pre-Run: 33.211.359.232 byte disponibili
Post-Run: 33,160,491,008 byte disponibili

159


Cos'hai nelle unità H e G? Sono le partizioni o le unità rimovibili?


G: è l'unità del masterizzatore.
H: invece al momento non compare nell'elenco delle unità, però mi fa pensare che possa essere l'altro lettore dvd che in realtà non viene praticamente usato e in effetti mi sembra che non funzioni.
Avatar utente
ilSignorCarlo
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer dic 17, 2008 4:41 pm

Re: Log di HijackThis

Messaggioda Amantide » gio dic 18, 2008 9:29 pm

Sembra che non ci sia più nient'altro di sospetto nel log. [^]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Log di HijackThis

Messaggioda ilSignorCarlo » ven dic 19, 2008 12:01 am

Amantide ha scritto:Sembra che non ci sia più nient'altro di sospetto nel log. [^]


Ok, grazie mille :D
Avatar utente
ilSignorCarlo
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer dic 17, 2008 4:41 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising