www.MegaLab.it

[maifree75]

Aiuto!!!! ho un grosso problema con avp.exe che mi fa arrivare la CPU al 100%...sono certo che sia un virus in quanto ho scaricato TVUPLAYER per guardare le partite di calcio ed in seguito ho riscontrato il problema!!!! vi posto il file di log di hj


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.53.46, on 17/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
F:\PhoneConnectorVMC.exe
F:\vmc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\utente\Desktop\STRUMENTI\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 7029906937
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Olivetti Monitor Service (olMntrService) - Olivetti - C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 6882 bytes



Vi prego aiutatemi!!!!

[[Claudio]]

Aiuto!!!! ho un grosso problema con avp.exe che mi fa arrivare la CPU al 100%...sono certo che sia un virus in quanto ho scaricato TVUPLAYER per guardare le partite di calcio ed in seguito ho riscontrato il problema!

Disinstalla quel programma, intanto.
Poi:

Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
Start
tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di sistema
spunta la voce Disattiva Ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Svuota del suo contenuto la cartella Prefetch:
Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno

Scarica ed installa MalwareBytes: clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica Combofix: clicca qui per il download
crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
accedi al sistema in modalità provvisoria con l'account Amministraore
lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Durante la scansione:
verranno creati alcuni file sul desktop e poi eliminati
spariranno, per un attimo, tutte le icone presenti sul Desktop
il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
combofix.txt e ComboFix-quarantined-files.txt
Riavvia il sistema in Modalità normale ed allega i due log

Disinstalla ComboFix in questa maniera:
Start
Esegui
nella casella di dlialogo digita o copia ed incolla questo comando: combofix /u
Vai in Disco Locale C: e, elimina questa cartella: QooBox
Elimina anche la cartella che avevi creato sul Desktop

[maifree75]

grazie per l'aiuto claudio, ma purtropppo il problema persiste!!
che altre info posso darti per cercare un percorso che mi risolva il fastidioso problema che mi affligge???

[maifree75]

Aiuto!!!! ho un grosso problema con avp.exe che mi fa arrivare la CPU al 100%...sono certo che sia un virus in quanto ho scaricato TVUPLAYER per guardare le partite di calcio ed in seguito ho riscontrato il problema!

Disinstalla quel programma, intanto.
Poi:

Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
Start
tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di sistema
spunta la voce Disattiva Ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Svuota del suo contenuto la cartella Prefetch:
Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno

Scarica ed installa MalwareBytes: clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica Combofix: clicca qui per il download
crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
accedi al sistema in modalità provvisoria con l'account Amministraore
lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Durante la scansione:
verranno creati alcuni file sul desktop e poi eliminati
spariranno, per un attimo, tutte le icone presenti sul Desktop
il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
combofix.txt e ComboFix-quarantined-files.txt
Riavvia il sistema in Modalità normale ed allega i due log

Disinstalla ComboFix in questa maniera:
Start
Esegui
nella casella di dlialogo digita o copia ed incolla questo comando: combofix /u
Vai in Disco Locale C: e, elimina questa cartella: QooBox
Elimina anche la cartella che avevi creato sul Desktop

[[Claudio]]

grazie per l'aiuto claudio, ma purtropppo il problema persiste!! che altre info posso darti .....?

Intanto, allegare il log che ti avevo chiesto non sarebbe una cattiva idea maifree
Prima controlliamo quelli e poi vediamo come proseguire.
Esegui anche una ricerca di avp.exe e dimmi dove viene localizzato.

[maifree75]

Hai ragione...solo che i log li ho gia' eliminati...se sono proprio importanti rifaccio la procedura...in ogni caso ti dico dove si trova avp.exe:
C:|WINDOWS|Prefetch ed in
C:|Programmi|Kaspersky Lab|Kaspersky Internet Secury 7.0

dalle ricerche che ho effettuato sembra che il virus che attanaglia il mio pc vada a posizionarsi nell'antivirus e che credo a questo punto lo renda inefficace.

fammi sapere e ancora grazie

[Amantide]

Credo che AVP.exe usa 100% della CPU proprio a causa di qualche virus ma non perché è infetto da quel virus.
Sarà meglio se rifai la scansione con Combofix e posti qui il suo report.

[[Claudio]]

Hai ragione...solo che i log li ho gia' eliminati...se sono proprio importanti rifaccio la procedura...in ogni caso ti dico dove si trova avp.exe:
C:|WINDOWS|Prefetch

Inizia a svuotare del suo contenuto la cartella Prefetch
Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno

ed in C:|Programmi|Kaspersky Lab|Kaspersky Internet Secury 7.0

Almeno è stabilito che non è un virus: è posizionato correttamente trattandosi di un processo legittimo di Kasp.

Ripeti le due scansioni con Malwarebytes e Combofix.
La seconda eseguila in modalità provvisoria accedendo al sistema con l'account Amministratore ed allega i due log.
Altra cosa: Tuv Player lo hai disinstallato?

[maifree75]

grazie per la disponibilita' innanzi tutto...sono riuscito a fare tutti i procedimenti che mi hai elencato e finalmente combofix mi ha dato i log che mi chiedevi mentre in un primo momento me ne dava solo uno.
allego tutto...
Malwarebytes' Anti-Malware 1.34
Versione del database: 1780
Windows 5.1.2600 Service Pack 3

2009-02-20 13:41:44
mbam-log-2009-02-20 (13-41-44).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|)
Elementi scansionati: 137772
Tempo trascorso: 26 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)




ComboFix 09-02-17.02 - Administrator 2009-02-20 14:12:29.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1014.786 [GMT 1:00]
Eseguito da: H:\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-01-20 al 2009-02-20 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 13:15 53,248 ----a-w c:\windows\PSEXESVC.EXE
2009-02-20 13:05 1,609,728 ----a-w c:\documents and settings\LocalService\NTUSER.DAT
2009-02-20 13:05 1,605,632 ----a-w c:\documents and settings\NetworkService\NTUSER.DAT
2009-02-20 13:05 1,598,029,824 --sha-w C:\pagefile.sys
2009-02-20 13:04 963,116 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-02-20 13:04 71,832,352 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-20 13:04 2,085,408 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-02-20 13:04 196,580 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-02-20 13:02 398,336 ----a-w c:\windows\system32\CF17884.exe
2009-02-20 13:01 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-02-20 12:59 786,432 ---ha-w c:\documents and settings\Administrator\NTUSER.DAT
2009-02-20 12:49 --------- d-----w c:\programmi\CCleaner
2009-02-20 12:08 24,425 ----a-w c:\windows\E220AutoRunLog.tmp
2009-02-20 12:08 --------- d-----w c:\programmi\Vodafone
2009-02-20 12:08 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2009-02-20 12:08 --------- d-----w c:\programmi\File comuni
2009-02-20 12:07 --------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-02-20 12:05 --------- d-----w c:\programmi\Google
2009-02-20 11:47 --------- d-----w c:\programmi\Spybot - Search & Destroy
2009-02-20 11:47 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-02-19 13:28 --------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-02-18 12:28 1,310,720 ---ha-w c:\documents and settings\utilizzo\NTUSER.DAT
2009-02-17 17:22 --------- d-----w c:\documents and settings\Administrator\Dati applicazioni\Malwarebytes
2009-02-17 11:42 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\DVD Shrink
2009-02-16 13:15 --------- d-----w c:\programmi\Redmon17
2009-02-16 13:14 --------- d-----w c:\programmi\A4Desk
2009-02-16 08:53 --------- d-----w c:\programmi\LG USB Drive 2.9
2009-02-12 21:49 --------- d-----w c:\programmi\File comuni\Skype
2009-02-12 21:49 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Skype
2009-02-12 21:49 --------- d-----r c:\programmi\Skype
2009-02-12 16:17 --------- d-----w c:\programmi\Windows Live Toolbar
2009-02-12 16:17 --------- d-----w c:\programmi\Windows Live
2009-02-12 16:16 --------- d-s---w c:\documents and settings\All Users\Dati applicazioni\Microsoft
2009-02-12 16:16 --------- d-----w c:\programmi\Microsoft Sync Framework
2009-02-12 16:15 --------- d-----w c:\programmi\Microsoft
2009-02-12 16:15 --------- d-----w c:\programmi\File comuni\Microsoft Shared
2009-02-12 16:14 --------- d-----w c:\programmi\Windows Live SkyDrive
2009-02-12 15:01 --------- d-----w c:\programmi\File comuni\Windows Live
2009-02-11 11:01 --------- d-----w c:\programmi\Internet Explorer
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 19:49 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Ahead
2009-02-09 10:05 --------- d-----w c:\programmi\Messenger Plus! Live
2009-02-05 11:09 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-02-05 11:09 --------- d-----w c:\programmi\Xara
2009-02-05 11:04 --------- d-----w c:\programmi\a-squared Anti-Malware
2009-02-04 16:55 194,320 ----a-w c:\windows\system32\drivers\klif.sys
2009-02-04 09:54 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-04 09:54 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-02-03 23:21 21,244,864 ----a-w c:\windows\system32\MRT.exe
2009-02-02 09:01 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\MSScanAppDataDir
2009-02-01 20:21 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\TVU networks
2009-02-01 19:55 --------- d-----w c:\programmi\Windows Media Player
2009-02-01 19:55 --------- d-----w c:\programmi\Windows Media Connect 2
2009-01-30 13:53 --------- d-----w c:\programmi\Auslogics
2009-01-29 07:55 --------- d-----w c:\programmi\File comuni\Adobe
2009-01-29 07:55 --------- d-----w c:\programmi\Adobe
2009-01-29 07:55 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Adobe
2009-01-16 20:15 3,594,752 ----a-w c:\windows\system32\mshtml.dll
2009-01-13 14:24 --------- d-----w c:\programmi\PartyGaming.Net
2009-01-12 20:44 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\GiocoDigitale
2009-01-11 21:04 --------- d-----w c:\programmi\PPLive
2009-01-08 22:09 --------- d-----w c:\programmi\Ares
2008-12-31 16:04 691,560 ----a-w c:\windows\system32\OGACheckControl.dll
2008-12-31 16:04 528,744 ----a-w c:\windows\system32\OGAVerify.exe
2008-12-31 16:04 502,120 ----a-w c:\windows\system32\OGAAddin.dll
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:31 671,232 ------w c:\windows\system32\mstime.dll
2008-12-20 22:31 477,696 ----a-w c:\windows\system32\mshtmled.dll
2008-12-20 22:31 44,544 ----a-w c:\windows\system32\pngfilt.dll
2008-12-20 22:31 233,472 ----a-w c:\windows\system32\webcheck.dll
2008-12-20 22:31 193,024 ------w c:\windows\system32\msrating.dll
2008-12-20 22:31 105,984 ----a-w c:\windows\system32\url.dll
2008-12-20 22:31 102,912 ------w c:\windows\system32\occache.dll
2008-12-20 22:31 1,160,192 ----a-w c:\windows\system32\urlmon.dll
2008-12-19 09:12 70,656 ------w c:\windows\system32\ie4uinit.exe
2008-12-19 09:10 13,824 ----a-w c:\windows\system32\ieudinit.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\ieakui.dll
2008-12-15 21:24 262,144 ---ha-w c:\documents and settings\Default User\NTUSER.DAT
2008-12-15 18:54 2,740 ----a-w c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2008-12-15 10:42 12,288 ----a-w c:\windows\system32\regsvr32.exe
2008-12-15 10:03 47,888 ----a-w c:\windows\system32\riyddhnhdrrm.exe
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
2008-06-10 10:31 88 --sh--r c:\documents and settings\All Users\Dati applicazioni\AE431DFE00.sys
2008-06-10 10:31 2,828 --sha-w c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys
2007-12-29 14:55 262,144 ----a-w c:\windows\system32\config\systemprofile\NtUser.dat
2007-12-07 14:23 32 ----a-w c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 2,462,208 2005-10-24 15:45:32 c:\acer\Empowering Technology\bak\admtray.exe

----a-w 344,064 2006-04-14 16:42:56 c:\acer\Empowering Technology\ePower\bak\ePower_DMC.exe

----a-w 39,792 2007-10-10 18:51:55 c:\programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe
----a-w 39,792 2008-10-15 00:04:34 c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

----a-w 49,152 2005-01-26 17:02:22 c:\programmi\Brother\Brmfl05a\bak\BrStDvPt.exe

----a-w 921,600 2007-12-29 14:57:50 c:\programmi\ESET\bak\nod32kui.exe

----a-w 132,496 2007-09-25 00:11:35 c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe

----a-w 593,920 2006-07-20 21:15:32 c:\programmi\Launch Manager\bak\LManager.exe

----a-w 1,015,808 2006-07-28 19:31:52 c:\programmi\LG USB Drive 2.9\bak\LG_Drive.exe

----a-w 53,248 2006-08-16 10:20:00 c:\programmi\Realtek\InstallShield\bak\AzMixerSel.exe

----a-w 49,152 2007-01-09 12:34:00 c:\windows\bak\VMSnap3.EXE

-c--a-w 15,360 2004-08-19 13:39:36 c:\windows\system32\bak\ctfmon.exe
----a-w 15,360 2008-04-14 02:14:03 c:\windows\system32\ctfmon.exe

-c--a-w 155,648 2001-07-09 10:50:42 c:\windows\system32\bak\NeroCheck.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BTTray.lnk]
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Controllo dello stato.lnk]
backup=c:\windows\pss\Controllo dello stato.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Google Updater.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^utente^Menu Avvio^Programmi^Esecuzione automatica^stunnel.lnk]
backup=c:\windows\pss\stunnel.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^utente^Menu Avvio^Programmi^Esecuzione automatica^Yahoo! Widget Engine.lnk]
backup=c:\windows\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\DNA\\btdna.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\LimeWire\\LimeWire.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\PPLive\\PPLive.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

S1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2007-12-07 12106]
S2 olMntrService;Olivetti Monitor Service;c:\programmi\Olivetti\ANY_WAY\olMntrService.exe [2007-06-08 126976]
S2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-12-07 7296]
S2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-12-07 4010]
S2 SeaPort;SeaPort;c:\programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24344]
S3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\drivers\NdisFilt.sys [2007-12-07 4392]
S3 OLSVUSB;Olivetti service driver;c:\windows\system32\drivers\olsrvusb.sys [2008-09-12 17536]
S3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys c:\windows\system32\drivers\vmfilter303.sys

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - MDMXSDK

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-20 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

2009-02-20 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 14:15:09
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(232)
c:\windows\system32\klogon.dll
.
Ora fine scansione: 2009-02-20 14:19:18
ComboFix-quarantined-files.txt 2009-02-20 13:18:49

Pre-Run: 32,238,006,272 byte disponibili
Post-Run: 32,210,079,744 byte disponibili

193 --- E O F --- 2009-02-16 08:56:51




2009-02-20 14:02:26 A------- 108 C:\Qoobox\Quarantine\catchme.log
2009-02-20 14:14:42 A------- 10,297 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg


Ho provveduto a disinstallare TVUmediaplayer come mi avevi indicato.


Spero di aver dato materiale a sufficienza per risolvere il problema...ancora grazie

[Amantide]

Scarica The Avenger, estrailo in una cartella ed avvia il file avenger.exe.
Incolla il seguente spript nello spazio bianco sotto alla voce Input script here, togli la spunta alla voce Scan for rootkits e clicca su Execute.

Codice: Seleziona tutto

Files to delete:
c:\windows\system32\riyddhnhdrrm.exe
c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
c:\windows\system32\ctfmon.exe

Files to move:
c:\windows\system32\bak\ctfmon.exe | c:\windows\system32\ctfmon.exe
c:\windows\bak\VMSnap3.EXE | c:\windows\VMSnap3.EXE
c:\programmi\Realtek\InstallShield\bak\AzMixerSel.exe | c:\programmi\Realtek\InstallShield\AzMixerSel.exe
c:\programmi\LG USB Drive 2.9\bak\LG_Drive.exe | c:\programmi\LG USB Drive 2.9\LG_Drive.exe
c:\programmi\Launch Manager\bak\LManager.exe | c:\programmi\Launch Manager\LManager.exe
c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | c:\programmi\Java\jre1.6.0_03\bin\jusched.exe
c:\programmi\ESET\bak\nod32kui.exe | c:\programmi\ESET\nod32kui.exe
c:\programmi\Brother\Brmfl05a\bak\BrStDvPt.exe | c:\programmi\Brother\Brmfl05a\BrStDvPt.exe
c:\programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
c:\acer\Empowering Technology\ePower\bak\ePower_DMC.exe | c:\acer\Empowering Technology\ePower\ePower_DMC.exe
c:\acer\Empowering Technology\bak\admtray.exe | c:\acer\Empowering Technology\admtray.exe

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo manualmente.
Al riavvio dovrebbe apparire il log avenger.txt, posta qui il suo contenuto.

Provvedi anche a rimuovere tutti i rimasugli di Nod32.

[maifree75]

fatto!!!
ti posto il log:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\windows\system32\riyddhnhdrrm.exe" deleted successfully.
File "c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe" deleted successfully.
File "c:\windows\system32\ctfmon.exe" deleted successfully.
File move operation "c:\windows\system32\bak\ctfmon.exe|c:\windows\system32\ctfmon.exe" completed successfully.
File move operation "c:\windows\bak\VMSnap3.EXE|c:\windows\VMSnap3.EXE" completed successfully.
File move operation "c:\programmi\Realtek\InstallShield\bak\AzMixerSel.exe|c:\programmi\Realtek\InstallShield\AzMixerSel.exe" completed successfully.
File move operation "c:\programmi\LG USB Drive 2.9\bak\LG_Drive.exe|c:\programmi\LG USB Drive 2.9\LG_Drive.exe" completed successfully.
File move operation "c:\programmi\Launch Manager\bak\LManager.exe|c:\programmi\Launch Manager\LManager.exe" completed successfully.
File move operation "c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe|c:\programmi\Java\jre1.6.0_03\bin\jusched.exe" completed successfully.
File move operation "c:\programmi\ESET\bak\nod32kui.exe|c:\programmi\ESET\nod32kui.exe" completed successfully.
File move operation "c:\programmi\Brother\Brmfl05a\bak\BrStDvPt.exe|c:\programmi\Brother\Brmfl05a\BrStDvPt.exe" completed successfully.
File move operation "c:\programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe|c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" completed successfully.
File move operation "c:\acer\Empowering Technology\ePower\bak\ePower_DMC.exe|c:\acer\Empowering Technology\ePower\ePower_DMC.exe" completed successfully.
File move operation "c:\acer\Empowering Technology\bak\admtray.exe|c:\acer\Empowering Technology\admtray.exe" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

[Amantide]

Noti i miglioramenti?

[maifree75]

perfetto!!! problema risolto...siete grandi!!!

[Amantide]

perfetto!!! problema risolto...siete grandi!!!