www.MegaLab.it

[ste_95]

Pensavo parlassi dello scanner antivirus, ma visto che si tratta di un'altra cosa, apri una nuova discussione nella sezione più adatta.

2) ma perlovga cosè un antispyware?

Trovi spiegato cosa rimuove qui:
http://www.MegaLab.it/2899/worm-perlovg ... desiderato

[giovannino60]

Quando ho scansionato con Combifix probabilmente la console di emergenza l'avevo già scaricata in una precedente scansione, quindi si è avviata e mi ha fatto un salvataggio di emergenza comparendo delle fasciette colorate in movimento. Questa console di emergenza cosa ha fatto? Cosa devo fare per toglierla?
Grazie

[ste_95]

Quella che lui chiama console di ripristino di emergenza non è altro che il ripristino configurazione di sistema, per disattivarlo, vedi qui:
Disabilitare il ripristino configurazione di sistema.

[giovannino60]

Non riesco a capire con il computer con windows 2000, perché entro nel forum con la password già memorizzata clicco login e dice torno alla pagina precedente e mi trovo ancora nella videata con la password e non riesco quindi a fare una domanda. Cosa vuol dire clicca come mi avevi detto il bottone di benvenuto, dov'è.

Allego reporto McAfee del computer con windows 2000 per Rootkit adesso avvio Combifix? Grazie

[ste_95]

Non riesco a capire con il computer con windows 2000, perché entro nel forum con la password già memorizzata clicco login e dice torno alla pagina precedente e mi trovo ancora nella videata con la password e non riesco quindi a fare una domanda. Cosa vuol dire clicca come mi avevi detto il bottone di benvenuto, dov'è.

E' un problema noto in fase di risoluzione.

Allego reporto McAfee del computer con windows 2000 per Rootkit adesso avvio Combifix? Grazie

Hai fatto Remove?

[giovannino60]

Attenzione Remove sembra che tolga solamente i browse cioè i dischi indicati sullo schermetto sbagliati ma non i virus infatti dall'informazioni su questo software non è nient'altro che un rilevatore di virus rispetto ad un elenco che si vede cliccando su List viruses.

[ste_95]

Prova il tool della Syamantec: http://www.symantec.com/content/en/us/g ... wnadup.exe
O quella di F-Secure: ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip

[giovannino60]

Non riesco a capire quale tool devo scaricare dal sito della Symantec, c'è ne sono un sacco.
perché non mi proponi Combifix.
Grazie

[ste_95]

perché non mi proponi Combifix.

Pensavo l'avessi già usato, prova allora.

[giovannino60]

[b]IL COMPUTER HA RIPRESO A SCARICARE GLI AGGIORNAMENTI DI SUPERANTISPYWARE, credo che l'attacco sia risolto ci sono novità dal log? Perche Avast è inefficace e anche il mio SuperantiSpyware è stato addirittura bloccato? Cosa devo fare in futuro?
Grazie

ComboFix 09-08-28.04 - Administrator 29/08/2009 8.37.48.1.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.39.1040.18.480.191 [GMT 2:00]
Eseguito da: c:\antivirus\Rootkit\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\recycler\NPROTECT
c:\recycler\S-1-5-18
c:\recycler\S-1-5-21-602162358-1532298954-839522115-1003
C:\scr.scr
c:\winnt\109108122185.exe
c:\winnt\system32\logs
c:\winnt\system32\oUuwayxx.ini
c:\winnt\system32\oUuwayxx.ini2
c:\winnt\system32\sounds
c:\winnt\Web\default.htt
D:\autorun.inf


.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SERV-U
-------\Service_Serv-U


((((((((((((((((((((((((( Files Creati Da 2009-07-28 al 2009-08-29 )))))))))))))))))))))))))))))))))))
.

2009-08-29 06:53 . 2009-08-29 06:53 33952 ----a-w- c:\winnt\system32\drivers\oreans32.sys
2009-08-29 06:50 . 2009-08-29 06:50 0 ----atw- c:\winnt\system32\Perflib_Perfdata_258.dat
2009-08-17 17:26 . 2008-04-13 10:07 519374 --sha-r- C:\hhnehs.exe
2009-08-15 13:52 . 2009-08-15 13:52 0 ----a-w- c:\winnt\nsreg.dat
2009-08-15 13:52 . 2009-08-15 13:52 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Mozilla
2009-08-15 13:39 . 2009-08-15 13:39 7868464 ----a-w- C:\Firefox Setup 3.5.2.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 06:53 . 2008-05-03 21:56 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-08-28 11:02 . 2008-01-25 13:16 -------- d-----w- c:\programmi\SUPERAntiSpyware
2009-08-15 01:02 . 2008-01-25 13:23 -------- d-----w- c:\programmi\XoftSpySE
2006-07-07 09:11 . 2006-06-09 05:34 3057 ----a-w- c:\programmi\installvariables.properties
2006-07-07 09:11 . 2006-06-09 05:34 146190 ----a-w- c:\programmi\.com.zerog.registry.xml
2006-07-07 09:11 . 2006-06-09 05:34 17795 ----a-w- c:\programmi\InstallScript.iap_xml
2006-07-07 09:11 . 2006-06-09 05:34 3787 ----a-w- c:\programmi\Uninstall ModuliControllo2006.lax
2006-07-07 09:11 . 2006-06-09 05:34 112640 ----a-w- c:\programmi\Uninstall ModuliControllo2006.exe
2006-07-07 09:11 . 2006-06-09 05:34 1198455 ----a-w- c:\programmi\uninstaller.jar
2004-05-08 19:48 . 2004-05-08 19:48 22075 ---h--w- c:\programmi\folder.htt
.

------- Sigcheck -------


[-] 2001-02-20 11:09 8192 D36A33C21EEED5A6C1DAECB7C80A1909 c:\winnt\system32\CTFMON.EXE





c:\winnt\system32\drivers\ip6fw.sys ... è mancante !!
c:\winnt\system32\termsrv.dll ... è mancante !!
c:\winnt\system32\comres.dll ... è mancante !!
c:\winnt\system32\mspmsnsv.dll ... è mancante !!
c:\winnt\system32\xmlprov.dll ... è mancante !!
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-25 476702]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe" [2009-02-17 162744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\winnt\system32\sistray.EXE" [2001-10-11 319488]
"SiS KHooker"="c:\winnt\system32\khooker.exe" [2001-12-13 290816]
"SiS7012Utility"="c:\winnt\system32\SiSAudUt.exe" [2001-11-21 294912]
"Multimedir KBD"="c:\programmi\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe" [2001-11-27 1212416]
"MemoREX"="c:\progra~1\MemoRex\MemoRexStart.exe" [2003-07-29 332288]
"Privacy"="c:\programmi\pfw\pfw.exe" [2002-01-23 1126400]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2004-05-09 77824]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-05-25 148888]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-26 111376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-26 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programmi\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-26 188176]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-1-9 212992]
HP Digital Imaging Monitor.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
msupdate.exe [2007-10-8 2478080]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 11:41 294912 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [05/08/2008 16.53.02 114768]
R1 oreans32;oreans32;c:\winnt\system32\drivers\oreans32.sys [29/08/2009 8.53.19 33952]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [10/10/2006 13.53.48 5632]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [27/02/2007 12.39.26 32256]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\drivers\aswFsBlk.sys [05/08/2008 16.53.02 20560]
R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [05/08/2008 16.53.02 93296]
R2 cpwnt;cpwnt;c:\winnt\system32\drivers\Cpwnt.sys [09/05/2004 9.21.48 21824]
R2 eusk2par;EUTRON SmartKey Parallel Driver;c:\winnt\system32\drivers\eusk2par.sys [29/09/2006 18.37.26 16695]
R2 PPPoEService;PPPoE Service;c:\progra~1\Alice\ALICEE~1\app\pppoeservice.exe [09/01/2008 20.38.27 49152]
R3 NTSPPPOE;Efficient Networks Enternet P.P.P.o.E LAN Miniport Driver;c:\winnt\system32\drivers\ntspppoe.sys [09/01/2008 20.38.18 161640]
R3 openhci;Driver controller host USB Open Microsoft ;c:\winnt\system32\drivers\openhci.sys [26/06/2003 14.00.00 24784]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 17.51.08 4096]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [08/05/2004 22.00.04 165760]
S2 CPUSB;CPUsb.Sys driver;c:\winnt\system32\drivers\CPUSB.sys [04/02/2005 9.37.01 17080]
S2 Microsoft PowerPoint Application;Microsoft PowerPoint Application;"c:\winnt\system32\dllcache\winppa.exe" c:\winnt\system32\dllcache\winppa.exe
S3 NTSTPL1;NTSTPL1;c:\progra~1\Alice\ALICEE~1\app\NTSTPL1.SYS [09/01/2008 20.38.27 16096]
S3 RAWESR;RAWESR;c:\progra~1\Alice\ALICEE~1\app\RAWESR.SYS [09/01/2008 20.38.26 12924]
S3 Slnt7554;USB Soft Modem Driver;c:\winnt\system32\drivers\slnt7554.sys [09/08/2006 15.28.19 205080]
S3 TAPBIND;TAPBIND;c:\progra~1\Alice\ALICEE~1\app\TAPBIND1.SYS [07/12/2006 18.31.44 44544]
S3 usb_rndisy;USB RNDIS Adapter;c:\winnt\system32\drivers\usb8023y.sys [29/11/2005 14.58.14 14336]
S3 V90drv;v90drv;c:\winnt\system32\drivers\v90drv.sys [09/08/2006 15.28.20 1266592]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - OREANS32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gfqkd
pvwlxwhs
jxigky
lueanqqiv
.
Contenuto della cartella 'Scheduled Tasks'

2009-08-29 c:\winnt\Tasks\XoftSpySE 2.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]

2009-08-15 c:\winnt\Tasks\XoftSpySE.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{45FDC90F-49F6-4119-8605-003140779B91} - (no file)
BHO-{7321D151-F956-4C57-8BC8-5893AC2C63F8} - (no file)
HKLM-Run-HPUsageTracking - c:\programmi\Hewlett-Packard\HP UT\bin\hppusg.exe
HKU-Default-Run-Windows Networking Monitoring - c:\winnt\system32\mdm.exe
Notify-nnnOEUNE - OEUNE.dll


.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/indexbb.html
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.alice.it/
uInternet Settings,ProxyOverride = 127.0.0.1;<local>
IE: Converti destinazione link in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti destinazione link in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti i link selezionati in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Converti i link selezionati in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Converti in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti nel file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti selezione in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti selezione in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\c95j22zs.default\
FF - prefs.js: browser.startup.homepage - http:/alice.it
FF - plugin: c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava11.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava12.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava13.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava14.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJPI150_16.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
.
------- Associazioni dei file -------
.
exefile=c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\msupdate.exe "%1 %*"
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-29 08:52
Windows 5.0.2195 Service Pack 4 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


c:\winnt\QTFont.for 1409 bytes
c:\winnt\QTFont.qfn 54156 bytes

Scansione completata con successo
Files nascosti: 2

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:00000020

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000004
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000003
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
"Name"="NPW"
"Param1"="NPW"
"Type"="wellknown"
"Order"=dword:00000002
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:00000013
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1428)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\OLEACC.dll
c:\winnt\system32\SHDOCVW.DLL
.
Ora fine scansione: 2009-08-29 9.02.40 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-08-29 07:02

Pre-Run: 10.597.539.840 byte disponibili
Post-Run: 10.739.499.008 byte disponibili

268

[ste_95]

2009-08-17 17:26 . 2008-04-13 10:07 519374 --sha-r- C:\hhnehs.exe

Questo caricalo su www.virustotal.com e postane il risultato.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
c:\winnt\system32\dllcache\winppa.exe

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger riporta un errore, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti.

Poi entra nel registro (Start -> Esegui -> regedit) e portati a questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

E cancella tutti questi ma lascia gli altri:
gfqkd
pvwlxwhs
jxigky
lueanqqiv

[giovannino60]

Questo file C:\hhnehs.exe non c'è, l'ho cercato con trova.
Il computer si è riavviato con lo schermo blù con il log, ma non proseguiva più quindi l'ho riavviato con il pulsante e si è riacceso perà non riesco più a metterlo il rete con l'altro computer con windows xp.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "c:\winnt\system32\dllcache\winppa.exe" not found!
Deletion of file "c:\winnt\system32\dllcache\winppa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[ste_95]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Da qui cosa hai tolto?

[giovannino60]

Questo passaggio non l'ho ancora fatto. Neanche internet non va più. La rete mi da cavo di rete scollegato. Non riesco ad entrare in sistema per verficare, hardware, gestione periferiche, schede di rete. Cosa devo fare?

[ste_95]

Ma hai fatto solo il passaggio di Avenger quindi o anche qualcos'altro?

[giovannino60]

Si solo Combofix e Avenger.

[ste_95]

Prova a ripassare ComboFix, magari è rientrato...

[giovannino60]

[LOG][ComboFix 09-08-28.04 - Administrator 29/08/2009 14.53.05.2.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.39.1040.18.480.127 [GMT 2:00]
Eseguito da: c:\antivi~1\Rootkit\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Esecuzione precedente -------
.
C:\autorun.inf
C:\scr.scr
c:\winnt\109108122185.exe
c:\winnt\system32\oUuwayxx.ini
c:\winnt\system32\oUuwayxx.ini2
c:\winnt\Web\default.htt
D:\autorun.inf



.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SERV-U
-------\Service_Serv-U


((((((((((((((((((((((((( Files Creati Da 2009-07-28 al 2009-08-29 )))))))))))))))))))))))))))))))))))
.

2009-08-29 13:09 . 2009-08-29 13:09 33952 ----a-w- c:\winnt\system32\drivers\oreans32.sys
2009-08-29 13:07 . 2009-08-29 13:07 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_20c.dat
2009-08-29 13:07 . 2009-08-29 13:07 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_23c.dat
2009-08-29 13:07 . 2009-08-29 13:07 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_25c.dat
2009-08-17 17:26 . 2008-04-13 10:07 519374 --sha-r- C:\hhnehs.exe
2009-08-15 13:52 . 2009-08-15 13:52 0 ----a-w- c:\winnt\nsreg.dat
2009-08-15 13:52 . 2009-08-15 13:52 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Mozilla
2009-08-15 13:39 . 2009-08-15 13:39 7868464 ----a-w- C:\Firefox Setup 3.5.2.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 07:19 . 2008-01-25 13:16 -------- d-----w- c:\programmi\SUPERAntiSpyware
2009-08-29 06:53 . 2008-05-03 21:56 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-08-15 01:02 . 2008-01-25 13:23 -------- d-----w- c:\programmi\XoftSpySE
2006-07-07 09:11 . 2006-06-09 05:34 3057 ----a-w- c:\programmi\installvariables.properties
2006-07-07 09:11 . 2006-06-09 05:34 146190 ----a-w- c:\programmi\.com.zerog.registry.xml
2006-07-07 09:11 . 2006-06-09 05:34 17795 ----a-w- c:\programmi\InstallScript.iap_xml
2006-07-07 09:11 . 2006-06-09 05:34 3787 ----a-w- c:\programmi\Uninstall ModuliControllo2006.lax
2006-07-07 09:11 . 2006-06-09 05:34 112640 ----a-w- c:\programmi\Uninstall ModuliControllo2006.exe
2006-07-07 09:11 . 2006-06-09 05:34 1198455 ----a-w- c:\programmi\uninstaller.jar
2004-05-08 19:48 . 2004-05-08 19:48 22075 ---h--w- c:\programmi\folder.htt
.

------- Sigcheck -------


[-] 2001-02-20 11:09 8192 D36A33C21EEED5A6C1DAECB7C80A1909 c:\winnt\system32\CTFMON.EXE





c:\winnt\system32\drivers\ip6fw.sys ... è mancante !!
c:\winnt\system32\termsrv.dll ... è mancante !!
c:\winnt\system32\comres.dll ... è mancante !!
c:\winnt\system32\mspmsnsv.dll ... è mancante !!
c:\winnt\system32\xmlprov.dll ... è mancante !!
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-25 476702]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe" [2009-02-17 162744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\winnt\system32\sistray.EXE" [2001-10-11 319488]
"SiS KHooker"="c:\winnt\system32\khooker.exe" [2001-12-13 290816]
"SiS7012Utility"="c:\winnt\system32\SiSAudUt.exe" [2001-11-21 294912]
"Multimedir KBD"="c:\programmi\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe" [2001-11-27 1212416]
"MemoREX"="c:\progra~1\MemoRex\MemoRexStart.exe" [2003-07-29 332288]
"Privacy"="c:\programmi\pfw\pfw.exe" [2002-01-23 1126400]
"HPUsageTracking"="c:\programmi\Hewlett-Packard\HP UT\bin\hppusg.exe" [BU]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2004-05-09 77824]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-05-25 148888]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-26 111376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring"="c:\winnt\system32\mdm.exe" [BU]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-26 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programmi\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-26 188176]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-1-9 212992]
HP Digital Imaging Monitor.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
msupdate.exe [2007-10-8 2478080]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 11:41 294912 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnOEUNE]
OEUNE.dll [BU]

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [05/08/2008 16.53.02 114768]
R1 oreans32;oreans32;c:\winnt\system32\drivers\oreans32.sys [29/08/2009 15.09.41 33952]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [10/10/2006 13.53.48 5632]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [27/02/2007 12.39.26 32256]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\drivers\aswFsBlk.sys [05/08/2008 16.53.02 20560]
R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [05/08/2008 16.53.02 93296]
R2 cpwnt;cpwnt;c:\winnt\system32\drivers\Cpwnt.sys [09/05/2004 9.21.48 21824]
R2 eusk2par;EUTRON SmartKey Parallel Driver;c:\winnt\system32\drivers\eusk2par.sys [29/09/2006 18.37.26 16695]
R2 PPPoEService;PPPoE Service;c:\progra~1\Alice\ALICEE~1\app\pppoeservice.exe [09/01/2008 20.38.27 49152]
R3 NTSPPPOE;Efficient Networks Enternet P.P.P.o.E LAN Miniport Driver;c:\winnt\system32\drivers\ntspppoe.sys [09/01/2008 20.38.18 161640]
R3 openhci;Driver controller host USB Open Microsoft ;c:\winnt\system32\drivers\openhci.sys [26/06/2003 14.00.00 24784]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 17.51.08 4096]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [08/05/2004 22.00.04 165760]
S2 CPUSB;CPUsb.Sys driver;c:\winnt\system32\drivers\CPUSB.sys [04/02/2005 9.37.01 17080]
S2 Microsoft PowerPoint Application;Microsoft PowerPoint Application;"c:\winnt\system32\dllcache\winppa.exe" c:\winnt\system32\dllcache\winppa.exe
S3 NTSTPL1;NTSTPL1;c:\progra~1\Alice\ALICEE~1\app\NTSTPL1.SYS [09/01/2008 20.38.27 16096]
S3 RAWESR;RAWESR;c:\progra~1\Alice\ALICEE~1\app\RAWESR.SYS [09/01/2008 20.38.26 12924]
S3 Slnt7554;USB Soft Modem Driver;c:\winnt\system32\drivers\slnt7554.sys [09/08/2006 15.28.19 205080]
S3 TAPBIND;TAPBIND;c:\progra~1\Alice\ALICEE~1\app\TAPBIND1.SYS [07/12/2006 18.31.44 44544]
S3 usb_rndisy;USB RNDIS Adapter;c:\winnt\system32\drivers\usb8023y.sys [29/11/2005 14.58.14 14336]
S3 V90drv;v90drv;c:\winnt\system32\drivers\v90drv.sys [09/08/2006 15.28.20 1266592]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - OREANS32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gfqkd
pvwlxwhs
jxigky
lueanqqiv
.
Contenuto della cartella 'Scheduled Tasks'

2009-08-29 c:\winnt\Tasks\XoftSpySE 2.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]

2009-08-15 c:\winnt\Tasks\XoftSpySE.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{45FDC90F-49F6-4119-8605-003140779B91} - (no file)
BHO-{7321D151-F956-4C57-8BC8-5893AC2C63F8} - (no file)


.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/indexbb.html
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.alice.it/
uInternet Settings,ProxyOverride = 127.0.0.1;<local>
IE: Converti destinazione link in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti destinazione link in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti i link selezionati in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Converti i link selezionati in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Converti in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti nel file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti selezione in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti selezione in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\c95j22zs.default\
FF - prefs.js: browser.startup.homepage - http:/alice.it
FF - plugin: c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava11.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava12.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava13.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava14.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJPI150_16.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
.
------- Associazioni dei file -------
.
exefile=c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\msupdate.exe "%1 %*"
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-29 15:09
Windows 5.0.2195 Service Pack 4 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:00000020

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000004
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000003
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
"Name"="NPW"
"Param1"="NPW"
"Type"="wellknown"
"Order"=dword:00000002
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:00000013
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(188)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1324)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\OLEACC.dll
c:\winnt\system32\SHDOCVW.DLL
c:\programmi\Microsoft Office\OFFICE11\msohev.dll
.
Ora fine scansione: 2009-08-29 15.17.01 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-08-29 13:16
ComboFix2.txt 2009-08-29 07:02

Pre-Run: 10.742.034.432 byte disponibili
Post-Run: 10.734.075.904 byte disponibili

269
/LOG]

[giovannino60]

Comunque non è cambiato niente non va più internet e neanche la rete.

[ste_95]

nnnOEUNE.dll

Manda anche questo su VirusTotal e dai una passata con VundoFix e VirtumondeBeGone:
http://www.MegaLab.it/2785/vundo-liberi ... per-sempre