Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 11:49 am

Salve a tutti!

Ieri mi hanno affidato un pc da pulire.(SO Windows Vista). I problemi sono i seguenti :

1) Rallentamento enorme nell'avvio del computer
2) Si aprivano decine di pagine indesiderate se avviavo internet explorer
3) Numerose applicazioni, tra cui una bar del pc Acer e windows live messenger, già all'avvio, "hanno smesso di funzionare"
4) L'utente mi ha informato che dopo aver continuato un po' così a usare il pc con tutti sti problemi, la connessione ha smesso di funzionare.Adesso quindi:
5)Non mi lascia eseguire ne installare alcun tipo di connessione internet : Chiavetta vodafone e Alice adsl non riescono a eseguirsi correttamente (il primo) o neanche ad installarsi completamente (il secondo)
6) Posso scordarmi di fare un riprsitno : non mi lascia creare ne eseguire punti di ripristino.
7) tra le altre schifezze,tra cui Mywebsearch, c'è anche questa : http://www.MegaLab.it/4037/live-player- ... n-sorpresa (riconoscibile da installazione applicazioni,l'autore è appunto favorite network sl, e da delle voci eliminate con ccleaner che si chiamavano appunto Liveplayer ; il programma adware vero e proprio comunque era FunnyWebemoticons, o qualcoosa del genere).

Il pc aveva Norton antivirus preinstallato, e non ancora attivato ; quindi navigava in internet come se fosse senza antivirus (tra l'altro l'utente ha accettato anche un file via msn "fotoricordo da.exe" o qualcosa del genere .
Comunque : ieri ho provato a disisntallare Norton : non riusciva a disinstallarsi . Allora ho preso da un altro pc l'utility di disinstallazione, che è riuscito a eliminarlo (e il virus li mi aveva combinato altri casini, ma va bè). Poi ho disinstallato l'adware funnywebemotcons.

Dopodichè, ho fatto uno scan con malwarebytes antimalware scaricandolo, insieme al database, da un altro pc. Mi ha trovato 245 elementi infetti,che ha eliminato; questo è il log :

Malwarebytes' Anti-Malware 1.36
Versione del database: 2110
Windows 6.0.6001 Service Pack 1

16/05/2009 19.53.58
Malwarebytes log

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 174027
Tempo trascorso: 1 hour(s), 0 minute(s), 2 second(s)

Processi delle memoria infetti: 2
Moduli della memoria infetti: 1
Chiavi di registro infette: 148
Valori di registro infetti: 10
Elementi dato del registro infetti: 0
Cartelle infette: 15
File infetti: 69

Processi delle memoria infetti:
C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (Adware.MyWeb) -> No action taken.

Moduli della memoria infetti:
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mywebsearchservice (Adware.MyWeb) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mywebsearchservice (Adware.MyWeb) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mywebsearchservice (Adware.MyWeb) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.datacontrol (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c8cecde3-1ae1-4c4a-ad82-6d5b00212144} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17de5e5e-bfe3-4e83-8e1f-8755795359ec} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1f52a5fa-a705-4415-b975-88503b291728} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a626cdbd-3d13-4f78-b819-440a28d7e8fc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.datacontrol.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.historykillerscheduler (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{8ca01f0e-987c-49c3-b852-2f1ac4a7094c} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1093995a-ba37-41d2-836e-091067c4ad17} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{120927bf-1700-43bc-810f-fab92549b390} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{247a115f-06c2-4fb3-967d-2d62d3cf4f0a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3e53e2cb-86db-4a4a-8bd9-ffeb7a64df82} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{90449521-d834-4703-bb4e-d3aa44042ff8} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{991aac62-b100-47ce-8b75-253965244f69} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bbabdc90-f3d5-4801-863a-ee6ae529862d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d6ff3684-ad3b-48eb-bbb4-b9e6c5a355c1} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{eb9e5c1c-b1f9-4c2b-be8a-27d6446fdaf8} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0f8ecf4f-3646-4c3a-8881-8e138ffcaf70} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b813095c-81c0-4e40-aa14-67520372b987} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c9d7be3e-141a-4c85-8cd6-32461f3df2c7} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cff4ce82-3aa2-451f-9b77-7165605fb835} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.historykillerscheduler.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.historyswattercontrolbar (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.historyswattercontrolbar.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e47caee0-deea-464a-9326-3f2801535a4d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3e1656ed-f60e-4597-b6aa-b6a58e171495} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.2 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.iecookiesmanager (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.iecookiesmanager.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.killerobjmanager (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.killerobjmanager.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutton (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{8e6f1830-9607-4440-8530-13be7c4b1d14} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{63d0ed2b-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{63d0ed2d-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e6f1832-9607-4440-8530-13be7c4b1d14} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9571378-68a1-443d-b082-284f960c6d17} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutton.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.popswattersettingscontrol (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\funwebproducts.popswattersettingscontrol.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.chatsessionplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e79dfbc0-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72ee7f04-15bd-4845-a005-d6711144d86a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e79dfbc9-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e79dfbcb-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.chatsessionplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3e720450-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3e720451-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3e720453-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.outlookaddin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{adb01e81-3c79-4272-a0f1-7b2be7a782dc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.outlookaddin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{7473d290-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7473d291-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7473d293-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7473d295-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7473d297-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d292-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.settingsplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{07b18ea0-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{07b18eaa-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{07b18eac-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f87d7fb5-9dc5-4c8c-b998-d8dfe02e2978} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.settingsplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{29d67d3c-509a-4544-903f-c8c1b8236554} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e3537fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{938aa51a-996c-4884-98ce-80dd16a5c9da} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6e74766c-4d93-4cc0-96d1-47b8e07ff9ca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{de38c398-b328-4f4c-a3ad-1b5e4ed93477} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e342af55-b78a-4cd0-a2bb-da7f52d9d25e} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e342af55-b78a-4cd0-a2bb-da7f52d9d25f} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84da4fdf-a1cf-4195-8688-3e961f505983} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d9fffb27-d62a-4d64-8cec-1ff006528805} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{0d26bc71-a633-4e71-ad31-eadc3a1b6a3a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{f42228fb-e84e-479e-b922-fbbd096e792c} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch bar Uninstall (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\my web search bar search scope monitor (Adware.MyWeb) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mywebsearch email plugin (Adware.MyWeb) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mywebsearch email plugin (Adware.MyWeb) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mywebsearch plugin (Adware.MyWeb) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\FunWebProducts (Adware.MyWebSearch) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Program Files\MyWebSearch (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Avatar (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Game (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\History (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Message (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\SrchAstt (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\SrchAstt\1.bin (Adware.MyWebSearch) -> No action taken.
C:\Program Files\FunWebProducts (Adware.MyWebSearch) -> No action taken.
C:\Program Files\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> No action taken.
C:\Program Files\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> No action taken.

File infetti:
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSSVC.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3MSG.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3SKIN.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3IMSTUB.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3PSSAVR.SCR (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3RESTUB.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3HIGHIN.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3IDLE.DLL (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3IMPIPE.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3MEDINT.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3SKPLAY.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3SLSRCH.EXE (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\NPMYWEBS.DLL (Adware.MyWeb) -> No action taken.
C:\Program Files\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> No action taken.
C:\Program Files\Internet Explorer\msimg32.dll (Adware.MyWebSearch) -> No action taken.
C:\Users\TOP SICRET\AppData\Local\Temp\IXP000.TMP\pozzz.exe (Backdoor.Bot) -> No action taken.
C:\Users\TOP SICRET\AppData\Local\Temp\IXP001.TMP\pozzz.exe (Backdoor.Bot) -> No action taken.
C:\Windows\System32\f3PSSavr.scr (Adware.MyWebSearch) -> No action taken.
C:\Windows\Temp\TMP00000020F07C4BB9B7E7D326 (Adware.MyWeb) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3BKGERR.JPG (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3SPACER.WMV (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3WALLPP.DAT (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3WPHOOK.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\FWPBUDDY.PNG (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3FFXTBR.JAR (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3NTSTBR.JAR (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\CM.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\MFC.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\PSS.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\SMILEY.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\WB.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\icons\ZWINKY.ICO (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Message\COMMON.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\COMMON.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\DOG.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\FISH.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\KUNGFU.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\LIFEGARD.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\MAID.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\MAILBOX.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\OPERA.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\ROBOT.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\SEDUCT.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Notifier\SURFER.F3S (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> No action taken.


Dopodichè ho dato una passata con Kaspersky virus removal tool ; mi ha trovato 11 schifezze ;questo è il log :

Scan
----
Scanned: 258151
Detected: 11
Untreated: 0
Start time: 16/05/2009 20.43.51
Duration: 14.19.32
Finish time: 17/05/2009 11.03.23


Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Downloader.Win32.Injecter.cgv File: C:\Program Files\Circe Developement\Uninstall.exe
deleted: Trojan program Trojan-Dropper.Win32.Kamboda.en File: C:\Program Files\eMule\Uninstall.exe
deleted: Trojan program Trojan.Win32.Swizzor.a File: C:\ProgramData\Blahlocksuser\Army Tray Knob Cool.exe
deleted: Trojan program Trojan.Win32.Swizzor.a File: C:\ProgramData\Blahlocksuser\beepspam.exe
deleted: Trojan program Trojan.Win32.Swizzor.a File: C:\ProgramData\Blahlocksuser\egnliyga.exe
will be deleted when the computer is restarted: Trojan program Trojan.Win32.Swizzor.a File: C:\ProgramData\Poke admin tons bike\1 web.exe
not found: Trojan program Trojan.Win32.Swizzor.a File: C:\Users\All Users\Blahlocksuser\Army Tray Knob Cool.exe
not found: Trojan program Trojan.Win32.Swizzor.a File: C:\Users\All Users\Blahlocksuser\beepspam.exe
not found: Trojan program Trojan.Win32.Swizzor.a File: C:\Users\All Users\Blahlocksuser\egnliyga.exe
will be deleted when the computer is restarted: Trojan program Trojan.Win32.Swizzor.a File: C:\Users\All Users\Poke admin tons bike\1 web.exe
deleted: Trojan program Backdoor.Win32.Agent.aejv File: C:\Users\TOP SICRET\foto ric da deboracca.EXE//data0000.cab/pozzz.exe


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 258151 11 11 0 0 2411 806 0 3
System memory 5822 0 0 0 0 0 88 0 0
Startup objects 774 0 0 0 0 0 61 0 0
Disk boot sectors 3 0 0 0 0 0 0 0 0
Documenti 1158 0 0 0 0 7 0 0 0
Mail databases 0 0 0 0 0 0 0 0 0
Computer 218643 11 11 0 0 1854 626 0 3
ACER (C:) 31751 0 0 0 0 550 31 0 0
DATA (D:) 0 0 0 0 0 0 0 0 0


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Infected: Trojan program Trojan.Win32.Swizzor.a c:\programdata\blahlocksuser\beepspam.exe 596 KB
Infected: Trojan program Trojan.Win32.Swizzor.a c:\programdata\blahlocksuser\army tray knob cool.exe 564 KB
Infected: Trojan program Trojan.Win32.Swizzor.a c:\programdata\poke admin tons bike\1 web.exe 744 KB
Infected: Trojan program Trojan.Win32.Swizzor.a c:\programdata\blahlocksuser\egnliyga.exe 744 KB
Infected: Trojan program Trojan-Dropper.Win32.Kamboda.en c:\program files\emule\uninstall.exe 76,6 KB
Infected: Trojan program Trojan-Downloader.Win32.Injecter.cgv c:\program files\circe developement\uninstall.exe 440 KB


Quindi ho dato diverse passate con cclenaer ; ci sono sempre 2 file che rispuntano, ma che non riesce ad aprire perché ccleaner ne ha cancellato diverse relative chiavi di registro ; al riavvio comunque windows mi avvisa sempre che non riesce ad aprire questi 2 file con estensione strana.

Adesso la situazione è un po' migliorata ; però a ogni avvio è ancora enormemente lento , le connessioni ancora non le riesco ad attivare, e niente ripristino. Ho fatto uno scan con hijackthis ; questo è il risultato :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.16.01, on 17/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\Users\TOP SICRET\AppData\Local\egwmo.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\TOPSIC~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Users\TOP SICRET\Desktop\Pulire pc Giada\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKCU\..\Run: [Delete Owns] "C:\ProgramData\fast close close.jiryowq"
O4 - HKCU\..\Run: [tons bike intra poll] "C:\ProgramData\ANTE PLUS CAMP.bdsfw0"
O4 - HKCU\..\Run: [egwmo] "c:\users\top sicret\appdata\local\egwmo.exe" egwmo
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [E06IXLRD_911092] "C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\RunOnce: [ADSLWizzy] C:\Windows\TEMP\ADSLWizzy\Setup.exe -tReboot
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O10 - Broken Internet access because of LSP chain gap (#7 in chain of 11 missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.66.134 83.224.65.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.66.134 83.224.65.134
O17 - HKLM\System\CS2\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.66.134 83.224.65.134
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9500 bytes


a parte le evidenti schifezze che ci sono nel log, questa mi incuriosisce : O10 - Broken Internet access because of LSP chain gap (#7 in chain of 11 missing)

Diagnosi


Effettuate una scansione del disco fisso con Spybot S&D (Kolla.de) o con LSPFix (Cexx.org). Purtroppo quest'oggetto non può essere eliminato! Il modo migliore per risolvere il problema consiste nell'uso dell'utility LSPFix di Cexx.org.

ho messo anche il commento che c'è nel sito di analisi automatica del log di hijackthis . mi consigliano di fare una cosa strana con LSPfix.. che faccio adesso ?

Provo con Combofix? fixo qualcosa con Hiajckthis ?

Vi ringrazio anticipamente in attesa di un vostro aiuto
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 12:54 pm

Caspita che casino! Questo PC è messo veramante male...
Potresti provare con Combofix, magari qualcosa sistema... questo LSPfix non l'ho mai sentito, ma potresti provarlo, tanto peggio di così è difficile [acc2] .

(potresti provare anche ad installare AntiVir (la trial della Premium, o anche la versione gratuita))
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 1:00 pm

Seba:-) ha scritto:Caspita che casino! Questo PC è messo veramante male...
Potresti provare con Combofix, magari qualcosa sistema... questo LSPfix non l'ho mai sentito, ma potresti provarlo, tanto peggio di così è difficile [acc2] .

(potresti provare anche ad installare AntiVir (la trial della Premium, o anche la versione gratuita))


purtroppo il pc non vorrei incasinarlo troppo, perché ci tengo, per questo sono così restio a usare combofix. Però se mi date l'ok lo uso senza problemi. [^]


LSPfix aspettavo apppunto un parere degli espertoni, per sapere se può risolvere.

Utilizzare la trial di Avira non servirebbe a niente, dato che internet non funge,non si potrebbe aggiornare [;)]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm


Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 1:06 pm

Pct ha scritto:purtroppo il pc non vorrei incasinarlo troppo, perché ci tengo, per questo sono così restio a usare combofix. Però se mi date l'ok lo uso senza problemi. [^]

LSPfix aspettavo apppunto un parere degli espertoni, per sapere se può risolvere.

Utilizzare la trial di Avira non servirebbe a niente, dato che internet non funge,non si potrebbe aggiornare [;)]

Purtroppo oggi quasi tutto lo staff non c'é (sono al MegaRaduno)...
Su LSPFix non saprei dirti niente... per aggiornare AntiVir, dopo averlo installato, ti scarichi da qui il file VDF e lo copi sul PC infetto.
http://www.avira.com/en/support/vdf_update.html
è una cartella compressa, non estrarre i file, lasciala così, dall'interfaccia di AntiVir clicchi su Aggiornamento-->Aggiornamento manuale, poi selezioni il file VDF e si aggiorna automaticamente anche se non sei connesso.
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 1:15 pm

Seba:-) ha scritto:
Pct ha scritto:purtroppo il pc non vorrei incasinarlo troppo, perché ci tengo, per questo sono così restio a usare combofix. Però se mi date l'ok lo uso senza problemi. [^]

LSPfix aspettavo apppunto un parere degli espertoni, per sapere se può risolvere.

Utilizzare la trial di Avira non servirebbe a niente, dato che internet non funge,non si potrebbe aggiornare [;)]

Purtroppo oggi quasi tutto lo staff non c'é (sono al MegaRaduno)...
Su LSPFix non saprei dirti niente... per aggiornare AntiVir, dopo averlo installato, ti scarichi da qui il file VDF e lo copi sul PC infetto.
http://www.avira.com/en/support/vdf_update.html
è una cartella compressa, non estrarre i file, lasciala così, dall'interfaccia di AntiVir clicchi su Aggiornamento-->Aggiornamento manuale, poi selezioni il file VDF e si aggiorna automaticamente anche se non sei connesso.


Grazie mille!! ora provo! il database è di Avira Antivir Premium 9 ?
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 1:16 pm

Pct ha scritto:
Seba:-) ha scritto:
Pct ha scritto:purtroppo il pc non vorrei incasinarlo troppo, perché ci tengo, per questo sono così restio a usare combofix. Però se mi date l'ok lo uso senza problemi. [^]

LSPfix aspettavo apppunto un parere degli espertoni, per sapere se può risolvere.

Utilizzare la trial di Avira non servirebbe a niente, dato che internet non funge,non si potrebbe aggiornare [;)]

Purtroppo oggi quasi tutto lo staff non c'é (sono al MegaRaduno)...
Su LSPFix non saprei dirti niente... per aggiornare AntiVir, dopo averlo installato, ti scarichi da qui il file VDF e lo copi sul PC infetto.
http://www.avira.com/en/support/vdf_update.html
è una cartella compressa, non estrarre i file, lasciala così, dall'interfaccia di AntiVir clicchi su Aggiornamento-->Aggiornamento manuale, poi selezioni il file VDF e si aggiorna automaticamente anche se non sei connesso.


Grazie mille!! ora provo! il database è di Avira Antivir Premium 9 ?

Il database è valido per le versioni Premium, Classic (gratuita) e Professioanal, penso sia per la versione 8, sia per la 9.
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 1:30 pm

Ok,grazie [^]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 3:00 pm

Ecco fatto, scansione terminata. Ha trovato 4 file infetti, di cui 2 attivi in memoria (e che non sono stati rilevati ne da malwarebytes (perché è un antispyware, e quindi è normale..) ne da Kaspersky (che invece avrebbe dovuto vederli..).. tuttavia i problemi non si sono risolti..

mi sa che combofix è d'obbligo
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 3:20 pm

Pct ha scritto:mi sa che combofix è d'obbligo

A questo punto...
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 3:27 pm

Potresti tentare anche con Spybot, visto che anche l'analisi automatica di HijackThis diceva di sistemare il problema della connessione con questo antispyware... male non fa [std] .

... Ho visto solo ora... questa voce non mi convince:
O4 - HKCU\..\Run: [egwmo] "c:\users\top sicret\appdata\local\egwmo.exe" egwmo

Non so che cosa sia, ma PrevX lo da' come malevolo:
http://www.prevx.com/filenames/12001594 ... O.EXE.html
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 3:39 pm

Eccomi tornato! scusa se rispondo solo ora ! Allora, quel file è stato prontamente eliminato da Antivir , e infatti nel log di hijackthis non esiste più. poi ho eliminato altre 2 voci malevole, che ero sicuro fossero tali..

a questo punto, prima di combofix potrei provare Lspfix.. magari mi sistema la connessione!
Spybot non potrei aggiornarlo purtroppo.. quinid non so se sarebbe utile..
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 3:45 pm

Pct ha scritto:Eccomi tornato! scusa se rispondo solo ora ! Allora, quel file è stato prontamente eliminato da Antivir , e infatti nel log di hijackthis non esiste più. poi ho eliminato altre 2 voci malevole, che ero sicuro fossero tali..

a questo punto, prima di combofix potrei provare Lspfix.. magari mi sistema la connessione!
Spybot non potrei aggiornarlo purtroppo.. quinid non so se sarebbe utile..

Anche per Spybot (qui ho cercato, non l'ho sapevo...) si può effettuare l'aggiornamento manuale... cito la pagina
http://home.datacomm.ch/Windows/spybot.htm:
E' possibile anche effettuare l'aggiornamento anche manualmente, ciò può essere utile in caso non si riesca a procedere

con l'update online oppure se si vuole salvare l'aggiornamento su un floppy o altro supporto per eseguirlo su più computer.

Facendo in questo modo però si aggiornano solo gli "includes" (cioè le firme dello spyware) e non altri componenti di Spybot.

Si tratta di scaricare un file eseguibile di ridotte dimensioni, lo trovate sul sito di Spybot nella parte Download

Scaricate (Detections Updates) in una qualsiasi cartella il file spybotsd_includes.exe di circa 800 Kb
http://www.spybotupdates.biz/updates/files/spybotsd_includes.exe

Terminato il Download del file assicuratevi che Spybot non sia in esecuzione, poi fate doppio clic sul file e vedrete
comparire una finestra come da immagine successiva.
Prima di premere Install dovete però specificare il percorso esatto, potete farlo aggiungendo includes a quanto già scritto
nella finestra dell'installazione oppure premendo il tasto Sfoglia (Browse)
Cliccate sul segno + accando all'unità C (o dove avete installato Spybot) e sfogliate fino a arrivare alla cartella includes
Osservate bene l'immagine sottostante, selezionate includes e poi premete OK
Ecco il percorso corretto, a questo punto potete premere il tasto Install
Premete Close, ora potete aprire di nuovo Spybot e procedere con la scansione del PC alla ricerca di Spyware o Malware


... sistemare la connessione sarebbe una gran bella cosa.
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 3:55 pm

Grazie mille! mi stai aiutando un casino [^]

LSpfix non ha funzionato, non trova la chiave di registro di winsock.. non vorrei che sto s*****o di un virus l'abbia spazzata via.. ora provo co Spybot!
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 4:31 pm

Ha trovato 4 voci.. una voce non riesce a rimuoverla.. impossibile accedere al file wininit o qualcosa del genere.. maledizione.. mi dice anche che sarebbe meglio effettuare la scansione come amministratore.. peccato che sono amministratore!!
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 4:34 pm

Non funziona comunque la connessione?
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 5:08 pm

no [cry] . ne usb , ne adsl.. nemmeno il ripristino.. e il solito programma della acer continua a smettere di funzionare.. ed è ancora lentissimo nell'avviarsi.. ma uffi.. mi sa che Combofix a questo punto è d'obbligo, ma prima vorrei aspettare il parere di Crazy,Ste o Amatinde (i 3 grandi hihi [;)] ) tanto questo pc me lo ha lasciato qua a casa mia e quindi posso tenerlo anche un mese volendo... te hai qualche altra idea? Comunque grazie mille di tutto l'aiuto che mi stai dando [^]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Seba:-) » dom mag 17, 2009 5:19 pm

A parte Combofix, no... hai fatto anche la scansione AntiRootkit con AntiVir, mi pare che di default con la scansione completa essa non sia prevista...
Grazie Zane!
Avatar utente
Seba:-)
Silver Member
Silver Member
 
Messaggi: 1739
Iscritto il: ven nov 07, 2008 7:16 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » dom mag 17, 2009 5:24 pm

Sisi, ho fatto anche quella e ho incluso nello scan i jokes e gli SPR
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Amantide » lun mag 18, 2009 4:58 pm

Vai avanti con Combofix [^]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Aiuto nella pulizia di un "Hotel per virus a 5 stelle"

Messaggioda Pct » mar mag 19, 2009 12:23 pm

Amantide ha scritto:Vai avanti con Combofix [^]


Ciao Amantide! Scusa il ritardo ; ho eseguito Combofix! Ha fatto molte eliminazioni ; questo è il report :

ComboFix 09-05-15.08 - TOP SICRET 19/05/2009 13.15.34.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.39.1040.18.1014.267 [GMT 2:00]
Eseguito da: c:\pippofix\TuttoFix.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I0I8662.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I15QF2O.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I2VIJTG.pptx
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I4KJMIZ.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I4PKQDD.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I4UK6AC.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I5BN1GK.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I8YNEZT.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$I9MWTKR.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IB8SL8Z.wma
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IBL6W3K.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IC3QQ6U.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IH3LXZM.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IHDIJ2F
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IJQF73C.pptx
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$INPO5DJ.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IR00O99.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IR05PZC.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$ISHA2DS.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IW5A8WI.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IXBAU2Q.lnk
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IXIXMVS
c:\$recycle.bin\S-1-5-21-1730258421-1699563306-1719020797-1003\$IZ0II21.wma

.
((((((((((((((((((((((((( Files Creati Da 2009-04-19 al 2009-05-19 )))))))))))))))))))))))))))))))))))
.

2009-05-19 11:12 . 2009-05-19 11:13 -------- d-----w C:\Pippofix
2009-05-18 12:16 . 2009-05-18 12:17 -------- d-----w c:\program files\SpywareBlaster
2009-05-17 16:05 . 2009-05-17 16:05 -------- d-----w c:\programdata\Vodafone
2009-05-17 16:05 . 2009-05-17 16:05 -------- d-----w c:\users\All Users\Vodafone
2009-05-17 15:05 . 2009-05-17 15:35 -------- d-----w c:\programdata\Spybot - Search & Destroy
2009-05-17 15:05 . 2009-05-17 15:35 -------- d-----w c:\users\All Users\Spybot - Search & Destroy
2009-05-17 15:05 . 2009-05-17 15:05 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-05-17 12:43 . 2009-03-24 14:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-16 18:43 . 2009-05-16 18:43 -------- d-----w c:\programdata\is-S3I9M
2009-05-16 18:43 . 2009-05-16 18:43 -------- d-----w c:\users\All Users\is-S3I9M
2009-05-16 18:43 . 2009-05-17 09:37 1087520 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-16 18:27 . 2009-05-16 18:27 -------- d-----w c:\program files\CCleaner
2009-05-16 16:47 . 2009-05-16 16:47 -------- d-----w c:\users\TOP SICRET\AppData\Roaming\Malwarebytes
2009-05-16 16:47 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-16 16:47 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-16 16:47 . 2009-05-16 16:47 -------- d-----w c:\programdata\Malwarebytes
2009-05-16 16:47 . 2009-05-16 16:47 -------- d-----w c:\users\All Users\Malwarebytes
2009-05-16 16:47 . 2009-05-16 16:47 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-16 16:37 . 2009-05-16 16:37 -------- d-----w c:\program files\Telecom Italia
2009-05-16 16:27 . 2009-05-16 16:27 -------- d-sh--w c:\windows\system32\config\systemprofile\Impostazioni locali
2009-05-16 16:27 . 2009-05-16 16:27 -------- d-sh--w c:\windows\system32\config\systemprofile\Dati applicazioni
2009-05-16 16:27 . 2009-05-16 16:27 -------- d-----r c:\windows\system32\config\systemprofile\Saved Games
2009-05-16 16:27 . 2009-05-16 16:27 -------- d-----r c:\windows\system32\config\systemprofile\Links
2009-05-16 16:27 . 2009-05-16 16:27 -------- d-----r c:\windows\system32\config\systemprofile\Searches

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-19 11:17 . 2007-07-28 17:42 727084 ----a-w c:\windows\system32\perfh010.dat
2009-05-19 11:17 . 2007-07-28 17:42 146530 ----a-w c:\windows\system32\perfc010.dat
2009-05-17 12:50 . 2009-04-05 14:06 3149 ----a-w c:\users\TOP SICRET\AppData\Local\egwmo.dat
2009-05-17 10:02 . 2008-12-23 08:23 93 ----a-w c:\users\TOP SICRET\AppData\Local\lkigesq.bat
2009-05-17 09:37 . 2009-05-16 18:43 13820 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-17 09:04 . 2008-12-23 08:23 -------- d-----w c:\program files\eMule
2009-05-17 09:04 . 2009-02-08 22:06 -------- d-----w c:\program files\Circe Developement
2009-05-16 16:37 . 2007-07-28 08:03 -------- d--h--w c:\program files\InstallShield Installation Information
2009-05-16 15:42 . 2007-07-28 08:26 -------- d-----w c:\program files\Common Files\Symantec Shared
2009-05-16 15:32 . 2008-08-05 21:46 680 ----a-w c:\users\TOP SICRET\AppData\Local\d3d9caps.dat
2009-03-24 13:21 . 2007-07-28 08:44 -------- d-----w c:\program files\Microsoft SQL Server
2009-02-19 13:03 . 2009-02-19 13:02 1159016 ----a-w c:\users\TOP SICRET\wlsetup-web.exe
2009-01-06 19:05 . 2006-11-02 12:48 174 --sha-w c:\program files\desktop.ini
2008-03-26 15:42 . 2008-03-26 15:33 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"E06IXLRD_827678"="c:\program files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" [2005-06-04 301776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-09-07 1021224]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-28 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-28 137752]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-05-29 4472832]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2007-05-29 1826816]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-28 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{6BB444F4-1B0C-4D4D-B3C4-EEA5FF1D2F53}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{0348B642-4D4C-4888-8529-6E243DFBBCF5}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{69171E25-566A-4B91-8F1F-3ABE65762BCD}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync

R2 BcmSqlStartupSvc;Servizio di avvio SQL Server di Business Contact Manager;c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [16/01/2008 11.41.32 30312]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [15/02/2009 12.28.33 55280]
R2 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19.08.58 533360]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [17/05/2009 17.05.24 1153368]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [14/01/2009 18.53.02 226656]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [09/02/2007 0.03.20 179712]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24/11/2008 23.31.10 29263712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-Acer Tour Reminder - (no file)
HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://it.intl.acer.yahoo.com
IE: &Search
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0777942B-32F2-4CFE-9F7B-420FD1446C75} = 83.224.66.134 83.224.65.134
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-19 13:20
Windows 6.0.6001 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Ora fine scansione: 2009-05-19 13.22.21
ComboFix-quarantined-files.txt 2009-05-19 11:22

Pre-Run: 26.108.542.976 byte disponibili
Post-Run: 26.011.799.552 byte disponibili

179 --- E O F --- 2009-04-06 16:45
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising