www.MegaLab.it

[kaysa]

ho un problemino..

quando provo ad aggiornarli in entrambi mi dice che non si riescono a connettere a internet.. che devo fare?

uso avira antivir e malwarebytes...

ieri ho inoltre scaricato superantispyware nella speranza di risolvere qualcosa ma il problema persiste, da fin troppo tempo.

graaazie!

[crazy.cat]

Comincia a fare una scansione con combofix e postane il log.
Puoi aggiornare manualmente avira
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip
e malwarebytes
http://www.gt500.org/malwarebytes/mbam-rules.exe
Poi lancia una scansione, vediamo cosa salta fuori e vai a rimuovere i problemi trovati..

[kaysa]

devo postare anche la prima parte o basta questo? intanto sto scaricando gli aggiornamenti.. grazie per la velocità della tua risposta!!

.
((((((((((((((((((((((((( Files Creati Da 2009-04-16 al 2009-05-16 )))))))))))))))))))))))))))))))))))
.

2009-05-15 15:27 . 2009-05-15 15:27 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2009-05-15 15:27 . 2009-05-15 15:27 -------- d-----w c:\documents and settings\Utente Windows\Dati applicazioni\SUPERAntiSpyware.com
2009-05-15 15:26 . 2009-05-15 15:26 -------- d-----w c:\programmi\File comuni\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-16 16:02 . 2001-08-31 12:00 83934 ----a-w c:\windows\system32\perfc010.dat
2009-04-16 16:02 . 2001-08-31 12:00 489038 ----a-w c:\windows\system32\perfh010.dat
2009-04-06 13:32 . 2008-12-13 15:49 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-12-13 15:49 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-04 11:55 . 2009-04-04 11:55 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-04-04 11:55 . 2009-04-04 11:55 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-04-04 11:48 . 2009-04-04 11:47 -------- d-----w c:\programmi\File comuni\PCSuite
2009-04-04 11:47 . 2009-04-04 11:47 -------- d-----w c:\programmi\File comuni\Nokia
2009-04-04 11:47 . 2009-04-04 11:47 -------- d-----w c:\programmi\DIFX
2009-04-04 11:46 . 2009-04-04 11:46 -------- d-----w c:\programmi\PC Connectivity Solution
2009-03-29 12:54 . 2005-12-13 20:05 39440 -c--a-w c:\documents and settings\Utente Windows\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-03-21 14:30 . 2005-12-07 22:49 39440 -c--a-w c:\documents and settings\Utente Windows\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-03-21 13:12 . 2009-03-21 13:12 2272 ----a-w c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2009-03-21 13:11 . 2009-03-21 13:11 -------- d-----w c:\programmi\MSBuild
2009-03-21 13:11 . 2009-03-21 13:11 -------- d-----w c:\programmi\Reference Assemblies
2009-03-21 12:35 . 2005-12-11 19:26 -------- d-----w c:\programmi\MSN Messenger
2009-03-21 12:34 . 2009-03-21 12:34 -------- d-----w c:\programmi\Microsoft
2009-03-21 12:34 . 2007-06-23 15:00 -------- d-----w c:\programmi\Windows Live
2009-03-21 12:33 . 2009-03-21 12:33 -------- d-----w c:\programmi\Windows Live SkyDrive
2009-03-21 12:28 . 2009-03-21 12:28 -------- d-----w c:\programmi\File comuni\Windows Live
2009-03-16 21:43 . 2009-03-16 21:43 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-03-06 14:19 . 2001-08-31 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2001-08-31 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 17:08 . 2005-07-12 22:41 78336 ----a-w c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-09-06 413696]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2002-07-12 1581056]
"GSICONEXE"="GSICON.EXE" - c:\windows\system32\gsicon.exe [2001-08-13 90112]
"DSLAGENTEXE"="dslagent.exe" - c:\windows\system32\dslagent.exe [2001-08-21 16384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w D:\SASWINLO.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI3"= SYNCOR11.DLL
"aux3"= c:\windows\system32\..\xbsm.qqu

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^EPSON Status Monitor 3 Environment Check 2.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\EPSON Status Monitor 3 Environment Check 2.lnk
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^LUMIX Simple Viewer.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\LUMIX Simple Viewer.lnk
backup=c:\windows\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Utente Windows^Menu Avvio^Programmi^Esecuzione automatica^Eurobarre.lnk]
path=c:\documents and settings\Utente Windows\Menu Avvio\Programmi\Esecuzione automatica\Eurobarre.lnk
backup=c:\windows\pss\Eurobarre.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Ahead\\Nero\\nero.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"d:\\emule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"d:\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=

R1 SASDIFSV;SASDIFSV;D:\sasdifsv.sys [28/04/2009 11.33.42 LiNdA 9968]
R1 SASKUTIL;SASKUTIL;D:\SASKUTIL.SYS [28/04/2009 11.33.40 LiNdA 72944]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [06/02/2007 23.07.01 LiNdA 102712]
R3 SASENUM;SASENUM;D:\SASENUM.SYS [28/04/2009 11.33.44 LiNdA 7408]
S2 gafwload;IPM Datacom USB ADSL Loader;c:\windows\system32\drivers\gafwload.sys [09/12/2005 18.51.51 LiNdA 26985]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

SSODL-rdihost-{780C7195-3E57-4DFF-B977-DC15BEB5458C} - rdihost.dll


.
------- Scansione supplementare -------
.
uStart Page = hxxp://google.it/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {3AE47B00-9CE9-4880-95F6-2237FD83E77F} = 85.37.17.47 85.38.28.82
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente Windows\Dati applicazioni\Mozilla\Firefox\Profiles\4gtsgpqy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gogle.it
FF - component: d:\nokia pc suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\documents and settings\All Users\Dati applicazioni\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-16 16:16
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(520)
D:\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-05-16 16.20.34
ComboFix-quarantined-files.txt 2009-05-16 14:19

Pre-Run: 8.001.384.448 byte disponibili
Post-Run: 8.504.991.744 byte disponibili

166 --- E O F --- 2009-05-14 22:22

[kaysa]

avira mi ha trovato un certo tr/agent.imh trojan!

[Amantide]

avira mi ha trovato un certo tr/agent.imh trojan!

Dove è stato trovato questo trojan?

Come il provider internet hai Alice, è vero?

Prova a sostituire i tuoi DNS (85.37.17.47 85.38.28.82) con questi: DNS1 85.37.17.46 e DNS2 85.38.28.84

[kaysa]

si ho Alice...

ehm.. dove devo andare a metter quel DNS? non so cosa sia

il trojan me lo trova ogni 5 minuti circa... in C:\WINDOWS\xbsm.qqu.

[Amantide]

si ho Alice...

ehm.. dove devo andare a metter quel DNS? non so cosa sia

Pannello di controllo>> Connessioni di rete>> clic con il tasto destro sulla connessione attiva>> Proprietà>> nella scheda Generale seleziona la voce Protocollo internet (TCP/IP)>> Proprietà

il trojan me lo trova ogni 5 minuti circa... in C:\WINDOWS\xbsm.qqu.

Avvia il pc in modalità provvisoria, premendo il tasto F8 all'avvio, ed esegui la scansione completa con Avira.

[kaysa]

vi ringrazio molto..

pare che il problema sia risolto, mi si aggiorna tuttto adesso.. anche se nella scansione in modalità provvisoria non me l'ha più trovato..

a questo DNS devo più farci qualcosa?