www.MegaLab.it

da **vlz** » ven apr 09, 2010 9:21 am

Ciao a tutti.
Durante una normale navigazione Kaspersky Internet security mi ha mostrato un messaggio in cui diceva di aver bloccato un virus.
Al momento non ci ho prestato molta attenzione, ma dopo alcuni minuti ha incominciato a segnalarmi un tentativo di accesso al''esterno che veniva prontamente bloccato:

Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe

il fatto si ripete regolarmente ogni 5 minuti.

Ecco il log di kaspersky;

Data: Lunedì (eventi: 22)
Scansione Personalizzata (eventi: 2)
05/04/2010 9.15.59 Attività completata Kaspersky Internet Security Ricerca di Rootkit
05/04/2010 9.10.28 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
Aggiornamenti (eventi: 20)
05/04/2010 22.17.20 Attività completata Kaspersky Internet Security Aggiornamenti
...
05/04/2010 8.17.09 Attività completata Kaspersky Internet Security Aggiornamenti
05/04/2010 8.15.43 Attività avviata Kaspersky Internet Security Aggiornamenti
Data: Martedì (eventi: 65)
Protezione (eventi: 3)
06/04/2010 0.40.48 La protezione non è in funzione Kaspersky Internet Security
06/04/2010 8.54.19 La protezione non è in funzione Kaspersky Internet Security
06/04/2010 18.12.54 La protezione non è in funzione Kaspersky Internet Security
Anti-Virus File (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Anti-Virus File
06/04/2010 9.24.42 Attività avviata Kaspersky Internet Security Anti-Virus File
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Anti-Virus File
Anti-Virus Posta (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Anti-Virus Posta
06/04/2010 9.24.45 Attività avviata Kaspersky Internet Security Anti-Virus Posta
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Anti-Virus Posta
Anti-Virus Web (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Anti-Virus Web
06/04/2010 9.24.45 Attività avviata Kaspersky Internet Security Anti-Virus Web
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Anti-Virus Web
Prevenzione Intrusioni (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
06/04/2010 9.24.42 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
Anti-Spam (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Anti-Spam
06/04/2010 9.24.42 Attività avviata Kaspersky Internet Security Anti-Spam
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Anti-Spam
Controllo Applicazioni (eventi: 10)
06/04/2010 20.36.47 Notepad++ : a free (GNU) source code editor Inserimento nel gruppo Attendibili Presente nel database del software noto
06/04/2010 20.22.29 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
06/04/2010 20.21.39 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Controllo Applicazioni
06/04/2010 9.52.56 MPlayer - The Movie Player Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
06/04/2010 9.25.49 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
06/04/2010 9.25.22 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
06/04/2010 9.24.42 Attività avviata Kaspersky Internet Security Controllo Applicazioni
06/04/2010 7.38.36 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Controllo Applicazioni
Auto-Difesa (eventi: 6)
06/04/2010 20.36.22 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
06/04/2010 20.22.35 Negato Kaspersky Internet Security Modifica REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default
06/04/2010 18.12.45 Negato Synaptics TouchPad Enhancements Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
06/04/2010 9.39.43 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
06/04/2010 9.36.42 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
06/04/2010 7.52.40 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
Difesa Proattiva (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Difesa Proattiva
06/04/2010 9.24.45 Attività avviata Kaspersky Internet Security Difesa Proattiva
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Difesa Proattiva
Firewall (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Firewall
06/04/2010 9.24.42 Attività avviata Kaspersky Internet Security Firewall
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Firewall
Anti-Virus IM (eventi: 3)
06/04/2010 20.21.16 Attività avviata Kaspersky Internet Security Anti-Virus IM
06/04/2010 9.24.45 Attività avviata Kaspersky Internet Security Anti-Virus IM
06/04/2010 7.37.37 Attività avviata Kaspersky Internet Security Anti-Virus IM
Scansione Personalizzata (eventi: 6)
06/04/2010 20.56.37 Attività completata Kaspersky Internet Security Ricerca di Rootkit
06/04/2010 20.51.22 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
06/04/2010 10.00.15 Attività completata Kaspersky Internet Security Ricerca di Rootkit
06/04/2010 9.54.43 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
06/04/2010 8.12.54 Attività completata Kaspersky Internet Security Ricerca di Rootkit
06/04/2010 8.07.40 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
Aggiornamenti (eventi: 16)
06/04/2010 22.57.38 Attività completata Kaspersky Internet Security Aggiornamenti
...
06/04/2010 7.52.40 Attività avviata Kaspersky Internet Security Aggiornamenti
Data: Ieri (eventi: 342)
Protezione (eventi: 50)
07/04/2010 0.54.05 La protezione non è in funzione Kaspersky Internet Security
07/04/2010 8.59.34 La protezione non è in funzione Kaspersky Internet Security
07/04/2010 10.05.24 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 10.05.43 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 10.14.16 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 10.14.16 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 10.14.17 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 10.32.37 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 10.32.40 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 10.32.41 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 12.24.54 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 12.24.54 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 12.24.55 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 14.44.42 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 14.44.43 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 14.44.43 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 17.04.41 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 17.04.41 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 17.04.43 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 18.28.42 La protezione non è in funzione Kaspersky Internet Security
07/04/2010 19.12.31 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 19.12.32 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 19.12.33 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 19.12.38 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 19.12.53 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 19.13.11 Non eliminato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 19.13.37 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 19.13.38 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 19.13.38 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 21.06.58 La protezione non è in funzione Kaspersky Internet Security
07/04/2010 21.24.50 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 21.24.50 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 21.24.51 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 21.24.51 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 21.24.52 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 21.33.41 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 22.09.03 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 22.14.10 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 22.19.17 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 23.29.55 Sono state rilevate delle minacce Kaspersky Internet Security
07/04/2010 23.45.05 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 23.45.06 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 23.45.07 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 23.45.07 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 23.45.07 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 23.45.07 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
07/04/2010 23.45.07 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
07/04/2010 23.45.08 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
07/04/2010 23.45.08 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
07/04/2010 23.45.08 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
Anti-Virus File (eventi: 38)
07/04/2010 23.30.11 Non spostato in Quarantena: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\mwno.tmp\svchost.exe
07/04/2010 23.29.56 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\mwno.tmp\svchost.exe
07/04/2010 23.29.55 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\mwno.tmp\svchost.exe
07/04/2010 22.19.32 Non spostato in Quarantena: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\sxky.tmp\svchost.exe
07/04/2010 22.19.18 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\sxky.tmp\svchost.exe
07/04/2010 22.19.17 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\sxky.tmp\svchost.exe
07/04/2010 22.14.26 Non spostato in Quarantena: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\nibo.tmp\svchost.exe
07/04/2010 22.14.11 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\nibo.tmp\svchost.exe
07/04/2010 22.14.10 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\nibo.tmp\svchost.exe
07/04/2010 22.09.03 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
07/04/2010 21.33.41 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\vibt.tmp\svchost.exe
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Anti-Virus File
07/04/2010 19.13.11 Non spostato in Quarantena: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 19.12.38 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 19.12.38 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
07/04/2010 19.07.20 Attività avviata Kaspersky Internet Security Anti-Virus File
07/04/2010 10.05.48 Rilevato: HEUR:Trojan.Win32.Invader Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
07/04/2010 10.05.44 Non eliminato: Packed.Win32.Krap.ao SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\somwaxncer.tmp
07/04/2010 10.05.44 Rilevato: Packed.Win32.Krap.ao SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\somwaxncer.tmp
07/04/2010 10.05.44 Eliminato: Packed.Win32.Krap.ao Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\somwaxncer.tmp
07/04/2010 10.05.44 Rilevato: Packed.Win32.Krap.ao Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\somwaxncer.tmp
07/04/2010 10.05.44 Non eliminato: Trojan-Downloader.Win32.Agent.dkpv SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\ancwmsxroe.tmp
07/04/2010 10.05.44 Eliminato: Trojan-Downloader.Win32.Agent.dkpv Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\ancwmsxroe.tmp
07/04/2010 10.05.44 Rilevato: Trojan-Downloader.Win32.Agent.dkpv SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\ancwmsxroe.tmp
07/04/2010 10.05.44 Rilevato: Trojan-Downloader.Win32.Agent.dkpv Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\ancwmsxroe.tmp
07/04/2010 10.05.44 Non spostato in Quarantena: HEUR:Trojan.Win32.Generic Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 10.05.44 Rilevato: HEUR:Trojan.Win32.Generic SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 10.05.44 Rilevato: HEUR:Trojan.Win32.Generic Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
07/04/2010 10.05.43 Non eliminato: Trojan.Win32.FakeMS.bvo SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp/ASPack
07/04/2010 10.05.43 Eliminato: Trojan.Win32.FakeMS.bvo Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp
07/04/2010 10.05.43 Rilevato: Trojan.Win32.FakeMS.bvo SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp/ASPack
07/04/2010 10.05.43 Rilevato: Trojan.Win32.FakeMS.bvo Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp/ASPack
07/04/2010 10.05.31 Rilevato: Trojan.Win32.FakeMS.bvo Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp/ASPack
07/04/2010 10.05.31 Disinfettato: Virus.Win32.Virut.ce Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp
07/04/2010 10.05.30 Rilevato: Virus.Win32.Virut.ce Processore dei comandi di Windows C:\Documents and Settings\co00275\Impostazioni locali\Temp\amrcexwnso.tmp
07/04/2010 10.05.24 Rilevato: HEUR:Trojan.Win32.Generic SRUN C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Anti-Virus File
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Anti-Virus File
Anti-Virus Posta (eventi: 4)
07/04/2010 7.37.31 Attività avviata Kaspersky Internet Security Anti-Virus Posta
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Anti-Virus Posta
07/04/2010 19.07.22 Attività avviata Kaspersky Internet Security Anti-Virus Posta
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Anti-Virus Posta
Anti-Virus Web (eventi: 144)
07/04/2010 7.37.31 Attività avviata Kaspersky Internet Security Anti-Virus Web
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Anti-Virus Web
07/04/2010 14.15.44 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... EnD9FJ5g== URL trovato nel database
07/04/2010 14.16.17 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... EnD9FJ5g== URL trovato nel database
07/04/2010 14.20.49 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... EnD9FJ5g== URL trovato nel database
07/04/2010 14.23.43 Negato Internet Explorer http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... EnD9FJ5g== URL trovato nel database
07/04/2010 14.26.01 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... uSAyAJBCo= URL trovato nel database
07/04/2010 14.27.37 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 14.56.14 Negato Internet Explorer http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... 1Pu5+Xw3k= URL trovato nel database
07/04/2010 15.01.04 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 15.02.01 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 15.02.19 Attività interrotta Kaspersky Internet Security Anti-Virus Web
07/04/2010 15.06.38 Attività avviata Kaspersky Internet Security Anti-Virus Web
07/04/2010 15.09.28 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 15.12.05 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 15.12.58 Negato Firefox http://zxclk9abnz72.com/AxYFWIAt8zvJx0c ... eDByAJBCo= URL trovato nel database
07/04/2010 18.15.58 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
07/04/2010 18.15.58 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
...
ripetuto ogni 5 minuti circa
...
07/04/2010 21.00.05 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
07/04/2010 21.05.09 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
07/04/2010 21.05.09 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Anti-Virus Web
07/04/2010 21.13.23 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
...
ripetuto ogno 5 minuti
...
07/04/2010 23.55.32 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
07/04/2010 23.55.32 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
Prevenzione Intrusioni (eventi: 4)
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
07/04/2010 19.07.22 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
Anti-Spam (eventi: 4)
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Anti-Spam
07/04/2010 19.07.20 Attività avviata Kaspersky Internet Security Anti-Spam
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Anti-Spam
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Anti-Spam
Controllo Applicazioni (eventi: 28)
07/04/2010 21.09.37 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
07/04/2010 21.09.25 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
07/04/2010 21.09.07 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\CVPNDRVA.SYS Avvio di driver
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Controllo Applicazioni
07/04/2010 20.42.55 Editor del Registro di sistema Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 20.28.47 HijackThis Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 20.22.42 Notepad++ : a free (GNU) source code editor Inserimento nel gruppo Attendibili Presente nel database del software noto
07/04/2010 19.08.43 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
07/04/2010 19.08.30 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
07/04/2010 19.07.20 Attività avviata Kaspersky Internet Security Controllo Applicazioni
07/04/2010 15.17.06 FLASHGOT.EXE Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 14.36.40 SETUP.EXE Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 14.36.35 Firefox Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 14.33.02 AU_.EXE Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
07/04/2010 14.33.00 UNINSTALLER.EXE Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
07/04/2010 10.05.54 TUJSERREW.BAT Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
07/04/2010 10.05.54 A tool to aid in developing services for WindowsNT Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 10.05.53 Net Command Inserimento nel gruppo Attendibili Firmato digitalmente da produttori attendibili
07/04/2010 10.05.53 Consentito: Utilizzo delle interfacce di programma di altri processi ronwamxsce.tmp Uso dell'interfaccia di programma di un altro processo c:\documents and settings\co00275\impostazioni locali\temp\ronwamxsce.tmp Utilizzo delle interfacce di programma di altri processi
07/04/2010 10.05.52 ronwamxsce.tmp Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
07/04/2010 10.05.39 Consentito: Uso delle funzioni di sistema (DNS) WSCARMOXEN.TMP Uso della funzione DNS del sistema per la risoluzione 873hgf7xx60.com Uso delle funzioni di sistema (DNS)
07/04/2010 10.05.33 WSCARMOXEN.TMP Inserimento nel gruppo Restrizione bassa Valore elevato nella classificazione della pericolosità calcolata euristicamente
07/04/2010 10.00.28 Consentito: Utilizzo delle interfacce di programma di altri processi Gestione archivi WinRAR Uso dell'interfaccia di programma di un altro processo c:\programmi\winrar\winrar.exe Utilizzo delle interfacce di programma di altri processi
07/04/2010 9.29.22 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
07/04/2010 9.28.45 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Controllo Applicazioni
07/04/2010 7.38.55 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Controllo Applicazioni
Auto-Difesa (eventi: 22)
07/04/2010 21.23.44 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 21.13.18 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 20.29.10 Negato HijackThis Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 19.22.27 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 19.09.56 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.56.27 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.55.34 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.47.20 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.45.10 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.42.09 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.38.10 Negato Task Manager di Windows Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.34.27 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.23.03 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.13.39 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.10.20 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 14.09.42 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 10.14.08 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 10.01.26 Negato Adobe Reader 9.3 Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 9.58.36 Negato WMI Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 9.43.17 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 7.52.34 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
07/04/2010 7.39.03 Negato Kaspersky Internet Security Modifica REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default
Difesa Proattiva (eventi: 4)
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Difesa Proattiva
07/04/2010 19.07.22 Attività avviata Kaspersky Internet Security Difesa Proattiva
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Difesa Proattiva
07/04/2010 7.37.31 Attività avviata Kaspersky Internet Security Difesa Proattiva
Firewall (eventi: 4)
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Firewall
07/04/2010 19.07.20 Attività avviata Kaspersky Internet Security Firewall
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Firewall
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Firewall
Anti-Virus IM (eventi: 4)
07/04/2010 21.08.37 Attività avviata Kaspersky Internet Security Anti-Virus IM
07/04/2010 19.07.22 Attività avviata Kaspersky Internet Security Anti-Virus IM
07/04/2010 9.28.12 Attività avviata Kaspersky Internet Security Anti-Virus IM
07/04/2010 7.37.29 Attività avviata Kaspersky Internet Security Anti-Virus IM
Scansione Personalizzata (eventi: 16)
07/04/2010 21.44.29 Attività completata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 21.38.44 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 20.36.35 Attività completata Kaspersky Internet Security Scansione Anti-Virus
07/04/2010 20.34.51 Attività avviata Kaspersky Internet Security Scansione Anti-Virus
07/04/2010 19.42.26 Attività completata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 19.37.27 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 19.24.57 Attività completata Kaspersky Internet Security Scansione Anti-Virus
07/04/2010 19.16.31 Attività avviata Kaspersky Internet Security Scansione Anti-Virus
07/04/2010 14.49.04 Attività interrotta Kaspersky Internet Security Scansione Personalizzata
07/04/2010 14.47.53 Attività avviata Kaspersky Internet Security Scansione Personalizzata
07/04/2010 11.58.14 Attività completata Kaspersky Internet Security Scansione Personalizzata
07/04/2010 10.19.55 Attività avviata Kaspersky Internet Security Scansione Personalizzata
07/04/2010 10.04.01 Attività completata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 9.58.17 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 8.12.52 Attività completata Kaspersky Internet Security Ricerca di Rootkit
07/04/2010 8.07.34 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
Aggiornamenti (eventi: 20)
07/04/2010 23.45.11 Attività completata Kaspersky Internet Security Aggiornamenti
...
07/04/2010 7.52.34 Attività avviata Kaspersky Internet Security Aggiornamenti
Data: Oggi (eventi: 79)
Protezione (eventi: 11)
08/04/2010 8.16.12 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
08/04/2010 8.16.12 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
08/04/2010 8.16.13 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
08/04/2010 8.16.13 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
08/04/2010 8.16.13 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
08/04/2010 8.16.14 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
08/04/2010 8.16.14 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
08/04/2010 8.16.15 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
08/04/2010 8.16.15 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
08/04/2010 8.16.15 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
08/04/2010 8.23.40 La protezione non è in funzione Kaspersky Internet Security
Anti-Virus File (eventi: 2)
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Anti-Virus File
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Anti-Virus File
Anti-Virus Posta (eventi: 2)
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Anti-Virus Posta
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Anti-Virus Posta
Anti-Virus Web (eventi: 34)
08/04/2010 0.06.01 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.06.01 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.11.09 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.11.09 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.21.39 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.21.39 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.26.50 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 0.26.50 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Anti-Virus Web
08/04/2010 8.03.42 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.03.42 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.08.43 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.08.43 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.13.47 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.13.48 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.18.49 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.18.49 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Anti-Virus Web
08/04/2010 8.55.11 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 8.55.11 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.00.15 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.00.15 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.05.16 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.05.16 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.10.18 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.10.18 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.15.19 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.15.19 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.20.21 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.20.21 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.25.23 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.25.23 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.30.24 Rilevato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
08/04/2010 9.30.24 Negato: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services http://lenina66.com/1111111.exe
Prevenzione Intrusioni (eventi: 2)
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
Anti-Spam (eventi: 2)
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Anti-Spam
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Anti-Spam
Controllo Applicazioni (eventi: 6)
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Controllo Applicazioni
08/04/2010 8.00.07 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
08/04/2010 8.00.25 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Controllo Applicazioni
08/04/2010 8.50.56 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
08/04/2010 8.51.19 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
Auto-Difesa (eventi: 6)
08/04/2010 9.31.22 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
08/04/2010 9.05.36 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
08/04/2010 9.03.54 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
08/04/2010 8.51.25 Negato Kaspersky Internet Security Modifica REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default
08/04/2010 8.14.13 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
08/04/2010 0.14.13 Negato HijackThis Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
Difesa Proattiva (eventi: 2)
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Difesa Proattiva
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Difesa Proattiva
Firewall (eventi: 2)
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Firewall
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Firewall
Anti-Virus IM (eventi: 2)
08/04/2010 8.50.28 Attività avviata Kaspersky Internet Security Anti-Virus IM
08/04/2010 7.59.05 Attività avviata Kaspersky Internet Security Anti-Virus IM
Scansione Personalizzata (eventi: 6)
08/04/2010 9.26.06 Attività completata Kaspersky Internet Security Ricerca di Rootkit
08/04/2010 9.20.36 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
08/04/2010 0.23.02 Attività completata Kaspersky Internet Security Scansione Anti-Virus
08/04/2010 0.22.31 Attività avviata Kaspersky Internet Security Scansione Anti-Virus
08/04/2010 0.15.53 Attività completata Kaspersky Internet Security Scansione Anti-Virus
08/04/2010 0.15.34 Attività avviata Kaspersky Internet Security Scansione Anti-Virus
Aggiornamenti (eventi: 2)
08/04/2010 8.16.19 Attività completata Kaspersky Internet Security Aggiornamenti
08/04/2010 8.14.13 Attività avviata Kaspersky Internet Security Aggiornamenti

e quello di HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.29.10, on 07/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Java\jre6\bin\jusched.exe
D:\appl\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\oracle\ora92\bin\omtsreco.exe
C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\VMware\VMware View\Client\bin\wsnm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
D:\appl\Notepad++\notepad++.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\appl\utility\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\appl\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ewrgetuj] C:\DOCUME~1\co00275\IMPOST~1\Temp\geurge.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spark] D:\appl\Spark\Spark.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: PNotes.lnk = D:\appl\PNotes\PNotes.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\appl\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\appl\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://D:\appl\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\appl\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\appl\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://D:\appl\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\appl\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\appl\Free Download Manager\dlall.htm
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{994F70BE-1D85-4C69-8B77-701B40AFA9B5}: NameServer = 151.99.125.2
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\appl\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Programmi\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programmi\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: VMware View Client Service (wsnm) - VMware, Inc. - C:\Programmi\VMware\VMware View\Client\bin\wsnm.exe

--
End of file - 9315 bytes

Ringrazio in anticipo per qualunque aiuto.

da **crazy.cat** » ven apr 09, 2010 9:29 am

Io inizierei a svuotare tutta la cartella temp perché qualcosa di strano si vede in tutti e due i log.
O4 - HKLM\..\Run: [ewrgetuj] C:\DOCUME~1\co00275\IMPOST~1\Temp\geurge.exe
Poi lancerei una scansione completa del pc con kasperksy e magari anche malwarebytes.
Poi facci sapere come è andata.

(ho tolto alcuni dati più personali dal log di hajckthis).

da **vlz** » ven apr 09, 2010 9:40 am

Provvedo e vi farò sapere il prima possibile.
Grazie!

da **vlz** » ven apr 09, 2010 11:14 am

Il problema sembra più grave del previsto!

Appena partita la scansione completa di Kaspersky mi compare il messaggio che è presente la seguente minaccia:

RootKit.win32.TDSS.d

Seguendo la procedura dell'antivirus: scansione delle minacce attive e riavvio automatico del PC, il problema si ripresenta appena l'icona di Kaspersky compare.
Ho ripetuto l'operazione 5 volte, ma senza risultato.

Allego il log di Kaspersky:

Data: Oggi (eventi: 162)
Protezione (eventi: 68)
09/04/2010 7.57.31 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
09/04/2010 7.57.32 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
09/04/2010 7.57.33 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
09/04/2010 7.57.33 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 7.57.33 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 7.57.34 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
09/04/2010 7.57.34 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
09/04/2010 7.57.34 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
09/04/2010 7.57.34 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
09/04/2010 7.57.35 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
09/04/2010 7.57.35 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\kfgx.tmp\svchost.exe
09/04/2010 8.22.55 La protezione non è in funzione Kaspersky Internet Security
09/04/2010 10.07.53 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
09/04/2010 10.07.54 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
09/04/2010 10.07.55 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
09/04/2010 10.07.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.07.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.07.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
09/04/2010 10.07.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
09/04/2010 10.07.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
09/04/2010 10.07.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
09/04/2010 10.07.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
09/04/2010 10.07.58 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\kfgx.tmp\svchost.exe
09/04/2010 10.42.42 Sono state rilevate delle minacce Kaspersky Internet Security
09/04/2010 10.45.15 La protezione non è in funzione Kaspersky Internet Security
09/04/2010 10.46.57 Sono state rilevate delle minacce Kaspersky Internet Security
09/04/2010 10.47.40 Rilevato: Rootkit.Win32.TDSS.d Kaspersky Internet Security System Memory
09/04/2010 10.47.53 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
09/04/2010 10.47.53 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
09/04/2010 10.47.54 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
09/04/2010 10.47.54 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.47.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.47.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
09/04/2010 10.47.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
09/04/2010 10.47.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
09/04/2010 10.47.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
09/04/2010 10.47.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
09/04/2010 10.47.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\kfgx.tmp\svchost.exe
09/04/2010 10.51.09 La protezione non è in funzione Kaspersky Internet Security
09/04/2010 10.52.26 Sono state rilevate delle minacce Kaspersky Internet Security
09/04/2010 10.53.26 Rilevato: Rootkit.Win32.TDSS.d Kaspersky Internet Security System Memory
09/04/2010 10.53.55 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
09/04/2010 10.53.55 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
09/04/2010 10.53.56 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
09/04/2010 10.53.56 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.53.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 10.53.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
09/04/2010 10.53.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
09/04/2010 10.53.57 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
09/04/2010 10.53.58 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
09/04/2010 10.53.58 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
09/04/2010 10.53.58 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\kfgx.tmp\svchost.exe
09/04/2010 10.57.05 La protezione non è in funzione Kaspersky Internet Security
09/04/2010 10.58.20 Sono state rilevate delle minacce Kaspersky Internet Security
09/04/2010 11.54.38 Rilevato: Rootkit.Win32.TDSS.d Kaspersky Internet Security System Memory
09/04/2010 11.54.43 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\cnasrwexom.tmp/PE_Patch.Molebox/Molebox
09/04/2010 11.54.43 Rilevato: Trojan-Downloader.Win32.Mufanom.pyx Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eamxoscnrw.tmp
09/04/2010 11.54.44 Rilevato: HEUR:Trojan.Win32.Invader Kaspersky Internet Security C:\Documents and Settings\co00275\Impostazioni locali\Temp\eacwsxomrn.tmp/PE_Patch/ASProtect
09/04/2010 11.54.44 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 11.54.44 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vnfy.tmp\svchost.exe
09/04/2010 11.54.44 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\vibt.tmp\svchost.exe
09/04/2010 11.54.45 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\cnjx.tmp\svchost.exe
09/04/2010 11.54.45 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\nibo.tmp\svchost.exe
09/04/2010 11.54.45 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\sxky.tmp\svchost.exe
09/04/2010 11.54.46 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\mwno.tmp\svchost.exe
09/04/2010 11.54.46 Rilevato: HEUR:Trojan.Win32.Generic Kaspersky Internet Security C:\WINDOWS\Temp\kfgx.tmp\svchost.exe
09/04/2010 11.57.08 La protezione non è in funzione Kaspersky Internet Security
09/04/2010 11.58.31 Sono state rilevate delle minacce Kaspersky Internet Security
Anti-Virus File (eventi: 6)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Anti-Virus File
09/04/2010 8.52.01 Attività avviata Kaspersky Internet Security Anti-Virus File
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Anti-Virus File
09/04/2010 10.52.26 Attività avviata Kaspersky Internet Security Anti-Virus File
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Anti-Virus File
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Anti-Virus File
Anti-Virus Posta (eventi: 6)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Anti-Virus Posta
09/04/2010 8.52.02 Attività avviata Kaspersky Internet Security Anti-Virus Posta
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Anti-Virus Posta
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Anti-Virus Posta
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Anti-Virus Posta
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Anti-Virus Posta
Anti-Virus Web (eventi: 6)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Anti-Virus Web
09/04/2010 8.52.02 Attività avviata Kaspersky Internet Security Anti-Virus Web
09/04/2010 10.46.59 Attività avviata Kaspersky Internet Security Anti-Virus Web
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Anti-Virus Web
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Anti-Virus Web
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Anti-Virus Web
Prevenzione Intrusioni (eventi: 6)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
09/04/2010 8.52.01 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Prevenzione Intrusioni
Anti-Spam (eventi: 6)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Anti-Spam
09/04/2010 8.52.01 Attività avviata Kaspersky Internet Security Anti-Spam
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Anti-Spam
09/04/2010 10.52.26 Attività avviata Kaspersky Internet Security Anti-Spam
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Anti-Spam
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Anti-Spam
Controllo Applicazioni (eventi: 16)
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 7.41.34 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
09/04/2010 8.52.01 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 8.52.34 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
09/04/2010 9.16.14 Consentito: Avvio di driver Assente Avvio di driver D:\APPL\PROCESSHACKER\KPROCESSHACKER.SYS Avvio di driver
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 10.47.26 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 10.52.54 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
09/04/2010 10.53.14 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 10.58.46 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
09/04/2010 11.54.11 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Controllo Applicazioni
09/04/2010 11.59.01 Consentito: Impostazione dei privilegi di debug VDM Framework Node Manager Impostazione dei privilegi di debug Impostazione dei privilegi di debug
09/04/2010 11.59.17 Consentito: Avvio di driver Assente Avvio di driver C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Avvio di driver
Auto-Difesa (eventi: 10)
09/04/2010 11.59.34 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 11.54.36 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 10.53.55 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 10.47.52 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 10.42.33 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 9.14.54 Negato Internet Explorer Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 9.07.09 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 8.22.32 Negato Esplora risorse Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 7.56.11 Negato Generic Host Process for Win32 Services Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
09/04/2010 7.43.19 Negato Firefox Apertura C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
Difesa Proattiva (eventi: 6)
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Difesa Proattiva
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Difesa Proattiva
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Difesa Proattiva
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Difesa Proattiva
09/04/2010 8.52.02 Attività avviata Kaspersky Internet Security Difesa Proattiva
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Difesa Proattiva
Firewall (eventi: 6)
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Firewall
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Firewall
09/04/2010 10.52.26 Attività avviata Kaspersky Internet Security Firewall
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Firewall
09/04/2010 8.52.01 Attività avviata Kaspersky Internet Security Firewall
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Firewall
Anti-Virus IM (eventi: 6)
09/04/2010 11.58.31 Attività avviata Kaspersky Internet Security Anti-Virus IM
09/04/2010 10.58.21 Attività avviata Kaspersky Internet Security Anti-Virus IM
09/04/2010 10.52.27 Attività avviata Kaspersky Internet Security Anti-Virus IM
09/04/2010 10.46.58 Attività avviata Kaspersky Internet Security Anti-Virus IM
09/04/2010 8.52.02 Attività avviata Kaspersky Internet Security Anti-Virus IM
09/04/2010 7.41.07 Attività avviata Kaspersky Internet Security Anti-Virus IM
Scansione Personalizzata (eventi: 16)
09/04/2010 11.55.49 Attività completata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 11.54.42 Attività avviata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 11.33.20 Attività completata Kaspersky Internet Security Ricerca di Rootkit
09/04/2010 11.28.28 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
09/04/2010 10.55.06 Attività completata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.53.54 Attività avviata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.49.18 Attività completata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.47.52 Attività avviata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.45.07 Attività completata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.44.10 Attività interrotta Kaspersky Internet Security Scansione Completa
09/04/2010 10.44.08 Attività avviata Kaspersky Internet Security Disinfetta minacce attive
09/04/2010 10.42.42 Attività avviata Kaspersky Internet Security Scansione Completa
09/04/2010 9.27.14 Attività completata Kaspersky Internet Security Ricerca di Rootkit
09/04/2010 9.22.09 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
09/04/2010 8.16.30 Attività completata Kaspersky Internet Security Ricerca di Rootkit
09/04/2010 8.11.11 Attività avviata Kaspersky Internet Security Ricerca di Rootkit
Aggiornamenti (eventi: 4)
09/04/2010 10.08.01 Attività completata Kaspersky Internet Security Aggiornamenti
09/04/2010 10.07.09 Attività avviata Kaspersky Internet Security Aggiornamenti
09/04/2010 7.57.42 Attività completata Kaspersky Internet Security Aggiornamenti
09/04/2010 7.56.11 Attività avviata Kaspersky Internet Security Aggiornamenti

Non ho ancora provato ad installare ed usare malwarebytes: procedo?

da **crazy.cat** » ven apr 09, 2010 12:07 pm

vlz ha scritto:RootKit.win32.TDSS.d

Utilizza questo tool dalla modalità provvisoria
http://support.kaspersky.com/downloads/ ... killer.zip
Cancella tutto anche in questa cartella
C:\WINDOWS\Temp\
Poi rifai la scansione con kaspersky e malwarebytes

da **vlz** » ven apr 09, 2010 3:42 pm

1. ho scaricato dal sito di kaspersky TDSSKiller.exe e l'ho eseguito in modalità provvisoria: niente.
Ad ogni riavvio il rootkit è ancora presente.

allego il log del tool:

15:11:54:343 1312 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
15:11:54:343 1312 ================================================================================
15:11:54:343 1312 SystemInfo:

15:11:54:343 1312 OS Version: 5.1.2600 ServicePack: 3.0
15:11:54:343 1312 Product type: Workstation
15:11:54:343 1312 ComputerName: AMILO-SYNEU
15:11:54:343 1312 UserName: co00275
15:11:54:343 1312 Windows directory: C:\WINDOWS
15:11:54:343 1312 Processor architecture: Intel x86
15:11:54:343 1312 Number of processors: 2
15:11:54:343 1312 Page size: 0x1000
15:11:54:343 1312 Boot type: Safe boot
15:11:54:343 1312 ================================================================================
15:11:54:343 1312 UnloadDriverW: NtUnloadDriver error 2
15:11:54:343 1312 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
15:11:54:375 1312 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
15:11:54:375 1312 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:11:54:375 1312 wfopen_ex: Trying to KLMD file open
15:11:54:375 1312 wfopen_ex: File opened ok (Flags 2)
15:11:54:375 1312 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
15:11:54:375 1312 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
15:11:54:375 1312 wfopen_ex: Trying to KLMD file open
15:11:54:375 1312 wfopen_ex: File opened ok (Flags 2)
15:11:54:375 1312 Initialize success
15:11:54:375 1312
15:11:54:375 1312 Scanning Services ...
15:11:55:750 1312 Raw services enum returned 338 services
15:11:55:781 1312
15:11:55:781 1312 Scanning Kernel memory ...
15:11:55:796 1312 Devices to scan: 4
15:11:55:796 1312
15:11:55:796 1312 Driver Name: Disk
15:11:55:796 1312 IRP_MJ_CREATE : F763DBB0
15:11:55:796 1312 IRP_MJ_CREATE_NAMED_PIPE : 804F9729
15:11:55:796 1312 IRP_MJ_CLOSE : F763DBB0
15:11:55:796 1312 IRP_MJ_READ : F7637D1F
15:11:55:796 1312 IRP_MJ_WRITE : F7637D1F
15:11:55:796 1312 IRP_MJ_QUERY_INFORMATION : 804F9729
15:11:55:796 1312 IRP_MJ_SET_INFORMATION : 804F9729
15:11:55:796 1312 IRP_MJ_QUERY_EA : 804F9729
15:11:55:796 1312 IRP_MJ_SET_EA : 804F9729
15:11:55:796 1312 IRP_MJ_FLUSH_BUFFERS : F76382E2
15:11:55:796 1312 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9729
15:11:55:796 1312 IRP_MJ_SET_VOLUME_INFORMATION : 804F9729
15:11:55:796 1312 IRP_MJ_DIRECTORY_CONTROL : 804F9729
15:11:55:796 1312 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9729
15:11:55:796 1312 IRP_MJ_DEVICE_CONTROL : F76383BB
15:11:55:796 1312 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
15:11:55:796 1312 IRP_MJ_SHUTDOWN : F76382E2
15:11:55:796 1312 IRP_MJ_LOCK_CONTROL : 804F9729
15:11:55:796 1312 IRP_MJ_CLEANUP : 804F9729
15:11:55:796 1312 IRP_MJ_CREATE_MAILSLOT : 804F9729
15:11:55:796 1312 IRP_MJ_QUERY_SECURITY : 804F9729
15:11:55:796 1312 IRP_MJ_SET_SECURITY : 804F9729
15:11:55:796 1312 IRP_MJ_POWER : F7639C82
15:11:55:796 1312 IRP_MJ_SYSTEM_CONTROL : F763E99E
15:11:55:796 1312 IRP_MJ_DEVICE_CHANGE : 804F9729
15:11:55:796 1312 IRP_MJ_QUERY_QUOTA : 804F9729
15:11:55:796 1312 IRP_MJ_SET_QUOTA : 804F9729
15:11:55:812 1312 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:11:55:812 1312
15:11:55:812 1312 Driver Name: Disk
15:11:55:812 1312 IRP_MJ_CREATE : F763DBB0
15:11:55:812 1312 IRP_MJ_CREATE_NAMED_PIPE : 804F9729
15:11:55:812 1312 IRP_MJ_CLOSE : F763DBB0
15:11:55:828 1312 IRP_MJ_READ : F7637D1F
15:11:55:828 1312 IRP_MJ_WRITE : F7637D1F
15:11:55:828 1312 IRP_MJ_QUERY_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_SET_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_EA : 804F9729
15:11:55:828 1312 IRP_MJ_SET_EA : 804F9729
15:11:55:828 1312 IRP_MJ_FLUSH_BUFFERS : F76382E2
15:11:55:828 1312 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_SET_VOLUME_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_DIRECTORY_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_DEVICE_CONTROL : F76383BB
15:11:55:828 1312 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
15:11:55:828 1312 IRP_MJ_SHUTDOWN : F76382E2
15:11:55:828 1312 IRP_MJ_LOCK_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_CLEANUP : 804F9729
15:11:55:828 1312 IRP_MJ_CREATE_MAILSLOT : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_SECURITY : 804F9729
15:11:55:828 1312 IRP_MJ_SET_SECURITY : 804F9729
15:11:55:828 1312 IRP_MJ_POWER : F7639C82
15:11:55:828 1312 IRP_MJ_SYSTEM_CONTROL : F763E99E
15:11:55:828 1312 IRP_MJ_DEVICE_CHANGE : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_QUOTA : 804F9729
15:11:55:828 1312 IRP_MJ_SET_QUOTA : 804F9729
15:11:55:828 1312 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:11:55:828 1312
15:11:55:828 1312 Driver Name: Disk
15:11:55:828 1312 IRP_MJ_CREATE : F763DBB0
15:11:55:828 1312 IRP_MJ_CREATE_NAMED_PIPE : 804F9729
15:11:55:828 1312 IRP_MJ_CLOSE : F763DBB0
15:11:55:828 1312 IRP_MJ_READ : F7637D1F
15:11:55:828 1312 IRP_MJ_WRITE : F7637D1F
15:11:55:828 1312 IRP_MJ_QUERY_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_SET_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_EA : 804F9729
15:11:55:828 1312 IRP_MJ_SET_EA : 804F9729
15:11:55:828 1312 IRP_MJ_FLUSH_BUFFERS : F76382E2
15:11:55:828 1312 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_SET_VOLUME_INFORMATION : 804F9729
15:11:55:828 1312 IRP_MJ_DIRECTORY_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_DEVICE_CONTROL : F76383BB
15:11:55:828 1312 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
15:11:55:828 1312 IRP_MJ_SHUTDOWN : F76382E2
15:11:55:828 1312 IRP_MJ_LOCK_CONTROL : 804F9729
15:11:55:828 1312 IRP_MJ_CLEANUP : 804F9729
15:11:55:828 1312 IRP_MJ_CREATE_MAILSLOT : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_SECURITY : 804F9729
15:11:55:828 1312 IRP_MJ_SET_SECURITY : 804F9729
15:11:55:828 1312 IRP_MJ_POWER : F7639C82
15:11:55:828 1312 IRP_MJ_SYSTEM_CONTROL : F763E99E
15:11:55:828 1312 IRP_MJ_DEVICE_CHANGE : 804F9729
15:11:55:828 1312 IRP_MJ_QUERY_QUOTA : 804F9729
15:11:55:828 1312 IRP_MJ_SET_QUOTA : 804F9729
15:11:55:828 1312 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
15:11:55:828 1312
15:11:55:828 1312 Driver Name: iaStor
15:11:55:828 1312 IRP_MJ_CREATE : 899FAAC8
15:11:55:828 1312 IRP_MJ_CREATE_NAMED_PIPE : 899FAAC8
15:11:55:828 1312 IRP_MJ_CLOSE : 899FAAC8
15:11:55:828 1312 IRP_MJ_READ : 899FAAC8
15:11:55:828 1312 IRP_MJ_WRITE : 899FAAC8
15:11:55:828 1312 IRP_MJ_QUERY_INFORMATION : 899FAAC8
15:11:55:828 1312 IRP_MJ_SET_INFORMATION : 899FAAC8
15:11:55:828 1312 IRP_MJ_QUERY_EA : 899FAAC8
15:11:55:828 1312 IRP_MJ_SET_EA : 899FAAC8
15:11:55:828 1312 IRP_MJ_FLUSH_BUFFERS : 899FAAC8
15:11:55:828 1312 IRP_MJ_QUERY_VOLUME_INFORMATION : 899FAAC8
15:11:55:828 1312 IRP_MJ_SET_VOLUME_INFORMATION : 899FAAC8
15:11:55:828 1312 IRP_MJ_DIRECTORY_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_FILE_SYSTEM_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_DEVICE_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_INTERNAL_DEVICE_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_SHUTDOWN : 899FAAC8
15:11:55:828 1312 IRP_MJ_LOCK_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_CLEANUP : 899FAAC8
15:11:55:828 1312 IRP_MJ_CREATE_MAILSLOT : 899FAAC8
15:11:55:828 1312 IRP_MJ_QUERY_SECURITY : 899FAAC8
15:11:55:828 1312 IRP_MJ_SET_SECURITY : 899FAAC8
15:11:55:828 1312 IRP_MJ_POWER : 899FAAC8
15:11:55:828 1312 IRP_MJ_SYSTEM_CONTROL : 899FAAC8
15:11:55:828 1312 IRP_MJ_DEVICE_CHANGE : 899FAAC8
15:11:55:828 1312 IRP_MJ_QUERY_QUOTA : 899FAAC8
15:11:55:828 1312 IRP_MJ_SET_QUOTA : 899FAAC8
15:11:55:828 1312 Driver "iaStor" infected by TDSS rootkit!
15:11:55:828 1312 C:\WINDOWS\system32\drivers\iaStor.sys - Verdict: 1
15:11:55:828 1312 File "C:\WINDOWS\system32\drivers\iaStor.sys" infected by TDSS rootkit ... 15:11:55:828 1312 Processing driver file: C:\WINDOWS\system32\drivers\iaStor.sys
15:11:55:828 1312 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
15:11:55:953 1312 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\OemDir\*) error 3
15:11:56:000 1312 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\ServicePackFiles\*) error 3
15:11:56:031 1312 !fdfb7
15:11:56:062 1312 vfvi6
15:11:56:343 1312 dsvbh1
15:11:56:343 1312 Backup copy2 found, using it..
15:11:56:343 1312 will be cured on next reboot
15:11:56:343 1312 Reboot required for cure complete..
15:11:56:406 1312 Cure on reboot scheduled successfully
15:11:56:406 1312
15:11:56:406 1312 Completed
15:11:56:406 1312
15:11:56:406 1312 Results:
15:11:56:406 1312 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
15:11:56:406 1312 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:11:56:421 1312 File objects infected / cured / cured on reboot: 1 / 0 / 1
15:11:56:421 1312
15:11:56:421 1312 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
15:11:56:421 1312 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
15:11:56:421 1312 UnloadDriverW: NtUnloadDriver error 1
15:11:56:453 1312 KLMD(ARK) unloaded successfully

2. ho scaricato Malwarebytes AntiMalware, ma mi dà un errore durante l'installazione: vbaccelerator SGrid II Control - Errore di run-time 0
seguito dopo un po' di tempo dal messaggio: MSVBVM60.DLL non trovato, riprovare l'installazione.
- la dll è presente sotto c:\windows\system32 ed è presente nel path:
C:\Programmi\Seagate Software\NOTES\;
C:\Programmi\Seagate Software\NOTES\DATA\;
C:\Programmi\oracle\ora92\bin;
C:\Programmi\Oracle\jre\1.3.1\bin;
C:\Programmi\Oracle\jre\1.1.8\bin;
%SystemRoot%\system32;
%SystemRoot%;%SystemRoot%\System32\Wbem;
C:\Programmi\File comuni\DivX Shared\;
C:\Programmi\File comuni\GTK\2.0\bin;
C:\Programmi\Microsoft SQL Server\90\Tools\binn\

- ho provato ad installarlo sia in modalità provvisoria sia normale: stesso errore.

Suggerimenti ????

da **vlz** » lun apr 12, 2010 1:24 pm

Nel frattempo ho effettuato anche una scansione con i seguenti CD-Live:
- Dr.Web
- Kaspersky
ma non hanno trovato nulla.

da **ste_95** » lun apr 12, 2010 2:33 pm

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:

Codice: Seleziona tutto: [LOG]qui va inserito il log[/LOG]

da **vlz** » lun apr 12, 2010 11:32 pm

Dopo aver staccato la rete e disabilitato l'antivirus (Kaspersky), ho eseguito la scansione con ComboFix.

Ecco il log generato:

ComboFix 10-04-12.01 - co00275 13/04/2010 0.02.16.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2038.1436 [GMT 2:00]
Eseguito da: c:\documents and settings\co00275\Desktop\programma.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\images
c:\windows\system32\images\toolbar\calendar.gif
c:\windows\system32\images\toolbar\crlogo.gif
c:\windows\system32\images\toolbar\export.gif
c:\windows\system32\images\toolbar\export_over.gif
c:\windows\system32\images\toolbar\exportd.gif
c:\windows\system32\images\toolbar\First.gif
c:\windows\system32\images\toolbar\first_over.gif
c:\windows\system32\images\toolbar\Firstd.gif
c:\windows\system32\images\toolbar\gotopage.gif
c:\windows\system32\images\toolbar\gotopage_over.gif
c:\windows\system32\images\toolbar\gotopaged.gif
c:\windows\system32\images\toolbar\grouptree.gif
c:\windows\system32\images\toolbar\grouptree_over.gif
c:\windows\system32\images\toolbar\grouptreed.gif
c:\windows\system32\images\toolbar\grouptreepressed.gif
c:\windows\system32\images\toolbar\Last.gif
c:\windows\system32\images\toolbar\last_over.gif
c:\windows\system32\images\toolbar\Lastd.gif
c:\windows\system32\images\toolbar\Next.gif
c:\windows\system32\images\toolbar\next_over.gif
c:\windows\system32\images\toolbar\Nextd.gif
c:\windows\system32\images\toolbar\Prev.gif
c:\windows\system32\images\toolbar\prev_over.gif
c:\windows\system32\images\toolbar\Prevd.gif
c:\windows\system32\images\toolbar\print.gif
c:\windows\system32\images\toolbar\print_over.gif
c:\windows\system32\images\toolbar\printd.gif
c:\windows\system32\images\toolbar\Refresh.gif
c:\windows\system32\images\toolbar\refresh_over.gif
c:\windows\system32\images\toolbar\refreshd.gif
c:\windows\system32\images\toolbar\Search.gif
c:\windows\system32\images\toolbar\search_over.gif
c:\windows\system32\images\toolbar\searchd.gif
c:\windows\system32\images\toolbar\up.gif
c:\windows\system32\images\toolbar\up_over.gif
c:\windows\system32\images\toolbar\upd.gif
c:\windows\system32\images\tree\begindots.gif
c:\windows\system32\images\tree\beginminus.gif
c:\windows\system32\images\tree\beginplus.gif
c:\windows\system32\images\tree\blank.gif
c:\windows\system32\images\tree\blankdots.gif
c:\windows\system32\images\tree\dots.gif
c:\windows\system32\images\tree\lastdots.gif
c:\windows\system32\images\tree\lastminus.gif
c:\windows\system32\images\tree\lastplus.gif
c:\windows\system32\images\tree\Magnify.gif
c:\windows\system32\images\tree\minus.gif
c:\windows\system32\images\tree\minusbox.gif
c:\windows\system32\images\tree\plus.gif
c:\windows\system32\images\tree\plusbox.gif
c:\windows\system32\images\tree\singleminus.gif
c:\windows\system32\images\tree\singleplus.gif
c:\windows\system32\msconfig.exe

c:\windows\system32\srsvc.dll . . . è infetto!!

.
((((((((((((((((((((((((( Files Creati Da 2010-03-12 al 2010-04-12 )))))))))))))))))))))))))))))))))))
.

2010-04-12 22:09 . 2010-04-12 22:09 -------- d-----w- c:\windows\system32\xircom
2010-04-12 22:09 . 2010-04-12 22:09 -------- d-----w- c:\windows\system32\wbem\snmp
2010-04-12 22:09 . 2010-04-12 22:09 -------- d-----w- c:\windows\system32\restore
2010-04-12 22:09 . 2010-04-12 22:09 -------- d-----w- c:\programmi\microsoft frontpage
2010-04-12 14:03 . 2008-04-13 16:53 25088 ------w- c:\windows\system32\drivers\kbdclass.sys
2010-04-10 21:10 . 2010-04-11 21:25 -------- d-----w- C:\tdss_remover_latest
2010-04-09 12:46 . 2010-03-22 08:43 178000 ----a-w- C:\TDSSKiller.exe
2010-04-08 18:15 . 2010-04-08 18:20 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\Process Hacker
2010-04-08 18:09 . 2010-04-08 18:09 -------- d-----r- c:\documents and settings\NetworkService\Preferiti
2010-04-07 08:11 . 2010-04-08 18:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-03-17 08:39 . 2010-03-17 08:39 300616 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-03-17 08:39 . 2010-03-17 08:39 118784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-03-17 08:39 . 2010-03-17 08:39 329312 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-03-17 08:38 . 2010-03-17 08:38 -------- d-----w- c:\programmi\File comuni\xing shared
2010-03-15 15:52 . 2010-03-15 15:52 -------- d-----w- c:\programmi\MSDN
2010-03-15 15:09 . 2010-03-15 15:09 -------- d-----w- c:\windows\system32\js
2010-03-15 15:09 . 2010-03-15 15:09 -------- d-----w- c:\windows\system32\css
2010-03-15 14:36 . 2010-03-15 14:43 -------- d-----w- c:\programmi\File comuni\Merge Modules
2010-03-15 14:36 . 2010-03-15 14:39 -------- d-----w- c:\programmi\HTML Help Workshop
2010-03-15 14:36 . 2010-03-15 14:36 -------- d-----w- c:\programmi\Microsoft SDKs
2010-03-15 14:36 . 2010-03-15 14:36 -------- d-----w- c:\programmi\CE Remote Tools
2010-03-15 14:35 . 2010-03-15 14:35 -------- d-----w- c:\programmi\Microsoft Visual Studio 8
2010-03-15 14:35 . 2010-03-15 14:35 -------- d-----w- c:\programmi\Microsoft Web Designer Tools
2010-03-15 14:34 . 2010-03-15 14:34 -------- d-----r- C:\MSOCache
2010-03-15 14:33 . 2010-03-15 14:33 416 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-03-15 14:33 . 2010-03-15 14:33 -------- d-----w- c:\documents and settings\co00275\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-03-15 14:33 . 2010-03-15 16:15 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-03-15 14:28 . 2010-03-15 15:46 329408 ----a-w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2010-03-15 14:27 . 2010-03-15 14:39 -------- d-----w- c:\programmi\MSBuild
2010-03-15 14:27 . 2010-03-15 14:31 -------- d-----w- c:\windows\system32\XPSViewer
2010-03-15 14:27 . 2010-03-15 14:27 -------- d-----w- c:\programmi\Reference Assemblies
2010-03-15 14:27 . 2007-03-22 19:24 28160 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-03-15 14:26 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 18:00 . 2009-10-29 10:01 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2010-04-11 16:57 . 2009-12-25 19:38 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\vlc
2010-04-10 22:53 . 2001-08-31 14:00 548454 ----a-w- c:\windows\system32\perfh010.dat
2010-04-10 22:53 . 2001-08-31 14:00 107698 ----a-w- c:\windows\system32\perfc010.dat
2010-04-09 13:12 . 2009-10-07 11:29 329752 ----a-w- c:\windows\system32\drivers\iaStor.sys
2010-03-17 08:38 . 2009-11-28 20:10 -------- d-----w- c:\programmi\File comuni\Real
2010-03-17 08:38 . 2009-11-28 20:10 -------- d-----w- c:\programmi\Real
2010-03-17 08:37 . 2009-11-03 14:44 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-03-17 08:37 . 2009-10-29 09:31 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-03-15 16:34 . 2009-10-29 14:36 75248 ----a-w- c:\documents and settings\co00275\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-03-15 15:44 . 2010-03-15 14:54 1690528 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\VisualStudio\9.0\1040\ResourceCache.dll
2010-03-15 15:09 . 2010-03-15 15:09 -------- d-----w- c:\programmi\Business Objects
2010-03-15 15:09 . 2010-03-15 14:36 -------- d-----w- c:\programmi\Microsoft Visual Studio 9.0
2010-03-15 15:08 . 2010-03-15 15:04 -------- d-----w- c:\programmi\Microsoft SQL Server
2010-03-15 15:06 . 2009-10-08 09:08 -------- d-----w- c:\programmi\Microsoft.NET
2010-03-15 15:05 . 2010-03-15 15:05 -------- d-----w- c:\programmi\MSXML 6.0
2010-03-15 15:02 . 2010-03-15 15:02 -------- d-----w- c:\programmi\Microsoft Device Emulator
2010-03-15 15:02 . 2010-03-15 15:00 -------- d-----w- c:\programmi\Windows Mobile 5.0 SDK R2
2010-03-15 14:59 . 2010-03-15 14:59 -------- d-----w- c:\programmi\Microsoft Synchronization Services
2010-03-15 14:59 . 2010-03-15 14:59 -------- d-----w- c:\programmi\Microsoft SQL Server Compact Edition
2010-03-15 14:54 . 2010-03-15 14:54 18464 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\VSA\9.0\1040\ResourceCache.dll
2010-03-15 14:43 . 2010-03-15 14:43 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PreEmptive Solutions
2010-03-13 00:05 . 2010-03-13 00:05 20 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\apu\ForDiff\apu0001.dat.exe
2010-03-03 11:39 . 2009-10-31 21:48 -------- d-----w- c:\programmi\Mozilla Thunderbird
2010-03-03 11:39 . 2010-03-03 11:39 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\Talkback
2010-03-03 11:38 . 2010-03-03 11:38 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\Thunderbird
2010-02-25 10:04 . 2009-10-29 16:26 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\Free Download Manager
2010-02-18 18:13 . 2009-10-08 08:40 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-02-18 10:54 . 2009-10-30 13:45 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\SQL Developer
2010-02-18 10:47 . 2010-02-18 10:02 1537 ----a-w- c:\documents and settings\co00275\Dati applicazioni\SQL Developer\system2.1.0.63.73\o.sqldeveloper.11.1.1.63.73\System.sys
2010-02-18 09:35 . 2009-10-08 09:14 -------- d-----w- c:\programmi\Sun
2010-02-12 19:34 . 2010-02-12 19:34 110096 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-02-12 19:34 . 2009-11-07 18:11 99152 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-02-12 19:34 . 2009-11-07 18:11 123280 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-02-12 19:34 . 2009-11-07 18:10 41680 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-02-12 19:34 . 2010-02-12 19:34 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-02-11 22:53 . 2009-12-25 19:44 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\Skype
2010-02-11 22:23 . 2010-02-11 22:23 -------- d-----w- c:\programmi\File comuni\PAC207
2010-02-11 22:23 . 2010-02-11 22:23 -------- d-----w- c:\programmi\Aecotech
2010-02-11 22:23 . 2009-10-07 13:43 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-02-11 22:23 . 2010-02-11 22:23 -------- d-----w- c:\documents and settings\co00275\Dati applicazioni\InstallShield
2010-02-11 16:30 . 2009-10-30 13:45 1221 ----a-w- c:\documents and settings\co00275\Dati applicazioni\SQL Developer\system1.5.5.59.69\o.sqldeveloper.11.1.1.59.69\System.sys
2009-10-29 10:04 . 2009-10-29 10:04 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
.

------- Sigcheck -------

[-] 2009-10-06 . 030DC4D48CC2B894FEE2F390D8E66AD5 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-10-06 . 3316C8A8EC07A9D4C0BE10310809A9E5 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

c:\windows\System32\srsvc.dll ... è mancante !!
c:\windows\System32\wscntfy.exe ... è mancante !!
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spark"="d:\appl\Spark\Spark.exe" [2007-11-14 434176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-10-28 149280]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"PAC207_Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2007-12-10 323584]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2007-12-10 323584]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2010-03-17 202256]
"avp"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-07-03 303376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\co00275\Menu Avvio\Programmi\Esecuzione automatica\
PNotes.lnk - d:\appl\PNotes\PNotes.exe [2009-11-23 699392]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
VPN Client.lnk - c:\windows\Installer\{3E5562ED-69AB-4CEC-91E2-64E18EC5ACC6}\Icon3E5562ED7.ico [2009-11-3 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\TeamViewer\\Version5\\TeamViewer.exe"=
"d:\\appl\\Skype\\Phone\\Skype.exe"=
"d:\\appl\\eMule\\eMule.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15/12/2008 21.41.32 33808]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [07/11/2009 20.11.01 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [07/11/2009 20.10.58 41680]
R2 wsnm;VMware View Client Service;c:\programmi\VMware\VMware View\Client\bin\wsnm.exe [16/01/2009 7.29.50 147456]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13/05/2009 18.46.52 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16/05/2009 21.59.44 19472]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [07/11/2009 20.11.01 99152]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [12/02/2010 21.34.58 110096]
S3 PAC207;PC Camer@;c:\windows\system32\drivers\PFC027.SYS [12/02/2010 0.23.33 618112]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [07/11/2009 20.11.00 32016]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - HELPSVC
*NewlyCreated* - WUAUSERV
.
Contenuto della cartella 'Scheduled Tasks'

2010-04-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-57989841-115176313-1801674531-1002.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-04-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-57989841-115176313-1801674531-1002.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
IE: Download all with Free Download Manager - file://d:\appl\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://d:\appl\Free Download Manager\dlselected.htm
IE: Download video with Free Download Manager - file://d:\appl\Free Download Manager\dlfvideo.htm
IE: Download with Free Download Manager - file://d:\appl\Free Download Manager\dllink.htm
IE: Scarica con Free Download Manager - file://d:\appl\Free Download Manager\dllink.htm
IE: Scarica i video con Free Download Manager - file://d:\appl\Free Download Manager\dlfvideo.htm
IE: Scarica selezionati con Free Download Manager - file://d:\appl\Free Download Manager\dlselected.htm
IE: Scarica tutto con Free Download Manager - file://d:\appl\Free Download Manager\dlall.htm
TCP: {994F70BE-1D85-4C69-8B77-701B40AFA9B5} = 151.99.125.2
FF - ProfilePath - c:\documents and settings\co00275\Dati applicazioni\Mozilla\Firefox\Profiles\8n0ie2tf.default\
FF - component: c:\documents and settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\components\nprpffbrowserrecordext.dll
FF - component: c:\documents and settings\co00275\Dati applicazioni\Mozilla\Firefox\Profiles\8n0ie2tf.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\programmi\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - component: d:\appl\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

SafeBoot-klmdb.sys

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-13 00:11
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(576)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
d:\appl\Cisco Systems\VPN Client\cvpnd.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\programmi\oracle\ora92\bin\omtsreco.exe
c:\programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Ora fine scansione: 2010-04-13 00:16:55 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-04-12 22:16

Pre-Run: 27.560.570.880 byte disponibili
Post-Run: 27.506.024.448 byte disponibili

- - End Of File - - 90A9E46189D30B71061415CD856FAF7C

Devo intraprendere altre azioni?

da **ste_95** » mar apr 13, 2010 6:33 am

Inserisci il CD di Windows nel lettore, poi clicca su Start -> Esegui e digita sfc /scannow.

da **vlz** » mar apr 13, 2010 4:03 pm

Sul PC ho installato il SP3 di windows XP, mentre il CD di windows XP integra solo il SP2.

Posso eseguire comunque il comando: sfc /scannow ?

www.MegaLab.it

Rilevato: HEUR:Trojan.Win32.Generic

Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Re: Rilevato: HEUR:Trojan.Win32.Generic

Chi c’è in linea