Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Ripulire il pc

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 2:42 pm

Ciao a tutti.

Mi hanno affidato un altro pc da ripulire. Windows Vista, 1 GB di ram.

All'inizio non si avviava neppure, neanche in modalità provvisoria.

Dopo aver avviato startupfix, è riuscito ad avviarsi ; il pc era però lentissimo, la navigazione quasi impossibile, impossibile portare a termine una qualsiasi scansione con antivirus,comportamenti strani di internet explorer ecc.

Così ho avviato Combofix che ha eliminato un po' di schifezze, dopodichè ho avviato Avast (Avira non ne voleva sapere di andare oltre il 34%, perché arrivato a quel punto della scansione il pc si piantava) che ha rilevato altri 5 file infetti ; 4 eliminati, il 5 l'ho fatto eliminare a Hitman Pro, che mi ha eliminato altri 4 file infetti. Dopodichè ho avviato anche malwarebytes che mi ha fatto fuori altre 2 schifezze.

Adesso va un po' meglio; il pc però continua ad avere picchi di utilizzo ram e cpu, la navigazione continua a essere lenta e per certi versi a scatti (magari può dipendere dal fatto che avviene attraverso la chiavetta vodafone , ma non ne sono sicuro; per farvi un esempio, non potevo postarvi i log di combofix,hijackthis ecc, perché se no Internet explorer si bloccava.. ho provato anche a postarveli "a pezzettini", ma niente da fare); su installazone applicazioni continua a essere presente favorit che non ne vuole sapere di levarsi di mezzo (ma secondo me è già eliminato).

Internet explorer è pieno di toolbar, le ho chiuse tutte, ditemi quale eliminare (Io le toglierei anche tutte..).

Vi posto i vari Log :
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda stevens » mer ago 18, 2010 2:54 pm

ciao

puoi postare il rapporto di combofix?
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 2:55 pm

Levo la parte

((((((((((((((((((((((((((((( SnapShot@2009-05-19_11.20.28 )))))))))))))))))))))))))))))))))))))))))

Da Combofix perché è troppo lunga, mi fa sclerare a tagliarla a pezzettini xD xD (Il messaggio contiene 500000 (e passa) caratteri. Il numero massimo di caratteri permessi è 60000. ) [bleh] .

Combofix :

ComboFix 10-08-16.04 - TOP SICRET 17/08/2010 19.17.48.2.1 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.39.1040.18.1014.114 [GMT 2:00]
Eseguito da: c:\users\TOP SICRET\Documents\Icone\Armamentario\ksdflknasfo.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\TOP SICRET\AppData\Local\fmufeltd.dat
c:\users\TOP SICRET\AppData\Local\fmufeltd_nav.dat
c:\users\TOP SICRET\AppData\Local\fmufeltd_navps.dat
c:\users\TOP SICRET\SoftonicDownloader64448.exe
c:\users\TOP SICRET\Widestream6-setup.exe
c:\windows\Downloaded Program Files\f3initialsetup1.0.1.1.inf

.
((((((((((((((((((((((((( Files Creati Da 2010-07-17 al 2010-08-17 )))))))))))))))))))))))))))))))))))
.

2010-08-17 17:31 . 2010-08-17 17:31 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-17 16:58 . 2010-08-17 16:58 12872 ----a-w- c:\windows\system32\bootdelete.exe
2010-08-17 15:35 . 2010-08-17 16:42 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-08-17 15:28 . 2010-08-17 16:58 -------- d-----w- c:\programdata\Hitman Pro
2010-08-17 15:28 . 2010-08-17 15:28 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-08-17 14:53 . 2010-08-17 14:55 -------- d-----w- c:\windows\system32\ca-ES
2010-08-17 14:53 . 2010-08-17 14:55 -------- d-----w- c:\windows\system32\eu-ES
2010-08-17 14:53 . 2010-08-17 14:55 -------- d-----w- c:\windows\system32\vi-VN
2010-08-17 14:16 . 2010-08-17 14:16 -------- d-----w- c:\windows\system32\EventProviders
2010-08-17 13:51 . 2009-03-08 11:32 72704 ----a-w- c:\windows\system32\admparse.dll
2010-08-12 21:33 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-11 21:32 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-11 21:32 . 2010-06-11 16:16 274944 ----a-w- c:\windows\system32\schannel.dll
2010-08-11 21:12 . 2010-06-21 13:37 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-08-11 21:01 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-11 21:00 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-11 21:00 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-11 21:00 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-11 21:00 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-11 21:00 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 17:15 . 2007-07-28 17:42 742236 ----a-w- c:\windows\system32\perfh010.dat
2010-08-17 17:15 . 2007-07-28 17:42 152238 ----a-w- c:\windows\system32\perfc010.dat
2010-08-17 15:10 . 2010-05-20 18:57 96 ----a-w- c:\users\TOP SICRET\AppData\Local\ffgcv.bat
2010-08-17 14:56 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Calendar
2010-08-17 14:56 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-17 14:56 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Sidebar
2010-08-17 14:56 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Collaboration
2010-08-17 14:56 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Photo Gallery
2010-08-17 14:56 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Defender
2010-08-17 14:53 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2010-08-17 13:49 . 2009-02-15 10:02 -------- d-----w- c:\program files\Microsoft
2010-08-13 11:19 . 2008-03-26 05:43 80834576 ----a-w- c:\windows\DUMP9a99.tmp
2010-08-13 05:26 . 2007-07-28 08:38 -------- d-----w- c:\programdata\Microsoft Help
2010-08-07 13:31 . 2010-04-25 18:06 -------- d-----w- c:\users\TOP SICRET\AppData\Roaming\OfferBox
2010-08-06 06:58 . 2009-01-10 13:33 -------- d-----w- c:\programdata\CanonIJPLM
2010-06-26 06:05 . 2010-08-17 13:54 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-17 13:54 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-17 13:54 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-17 13:54 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-23 20:41 . 2010-06-23 20:41 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb6559.tmp.exe
2010-06-23 07:36 . 2009-05-31 21:11 -------- d-----w- c:\program files\eMule
2010-05-26 17:06 . 2010-06-11 04:53 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-11 04:53 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-25 14:46 . 2008-08-05 21:46 680 ----a-w- c:\users\TOP SICRET\AppData\Local\d3d9caps.dat
2010-05-19 19:05 . 2009-06-05 15:52 93 ----a-w- c:\users\TOP SICRET\AppData\Local\gccwk.bat
2009-05-17 09:37 . 2009-05-16 18:43 1087520 --sha-w- c:\windows\System32\drivers\fidbox.dat
2008-03-26 15:42 . 2008-03-26 15:33 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.



.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{45dd02aa-87d3-441a-9e77-068f8fa93fc8}"= "c:\program files\Cerca_Italia\tbCer1.dll" [2009-07-20 2215960]
"{d22b76bb-abbd-4eb6-9bbb-f387bf27f76b}"= "c:\program files\P2P_Max_IT\tbP2P0.dll" [2009-11-08 2166296]

[HKEY_CLASSES_ROOT\clsid\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]

[HKEY_CLASSES_ROOT\clsid\{d22b76bb-abbd-4eb6-9bbb-f387bf27f76b}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]
2009-07-20 15:48 2215960 ----a-w- c:\program files\Cerca_Italia\tbCer1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d22b76bb-abbd-4eb6-9bbb-f387bf27f76b}]
2009-11-08 21:08 2166296 ----a-w- c:\program files\P2P_Max_IT\tbP2P0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{45dd02aa-87d3-441a-9e77-068f8fa93fc8}"= "c:\program files\Cerca_Italia\tbCer1.dll" [2009-07-20 2215960]
"{d22b76bb-abbd-4eb6-9bbb-f387bf27f76b}"= "c:\program files\P2P_Max_IT\tbP2P0.dll" [2009-11-08 2166296]

[HKEY_CLASSES_ROOT\clsid\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]

[HKEY_CLASSES_ROOT\clsid\{d22b76bb-abbd-4eb6-9bbb-f387bf27f76b}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{45DD02AA-87D3-441A-9E77-068F8FA93FC8}"= "c:\program files\Cerca_Italia\tbCer1.dll" [2009-07-20 2215960]

[HKEY_CLASSES_ROOT\clsid\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Delete Owns"="c:\programdata\fast close close.5qenki" [X]
"E06IXLRD_827678"="c:\program files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" [2005-06-04 301776]
"OfferBox"="c:\program files\OfferBox\OfferBox.exe" [2010-03-23 632464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-29 4472832]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-09-07 1021224]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-28 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-28 137752]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"Skytel"="Skytel.exe" [2007-05-29 1826816]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-07-04 2072576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-28 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 10:52 2072576 ----a-w- c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28 1233920 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
2006-11-05 19:48 57344 ----a-w- c:\acer\WR_PopUp\WarReg_PopUp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]
2009-04-11 06:28 2153472 ----a-w- c:\windows\System32\oobefldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):8c,6a,b1,b3,1d,3e,cb,01

R2 gupdate1ca0fa76f5fef37;Servizio di Google Update (gupdate1ca0fa76f5fef37);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-28 133104]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 179712]
S2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [2009-05-27 185640]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-07-04 14336]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Contenuto della cartella 'Scheduled Tasks'

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-28 17:18]

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-28 17:18]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://it.intl.acer.yahoo.com
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

AddRemove-IHMC CmapTools v5.03 - c:\program files\IHMC CmapTools\UninstallerData\Uninstall CmapTools.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-17 19:32
Windows 6.0.6002 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Ora fine scansione: 2010-08-17 19:37:18
ComboFix-quarantined-files.txt 2010-08-17 17:37
ComboFix2.txt 2009-05-19 11:22

Pre-Run: 9.842.585.600 byte disponibili
Post-Run: 9.688.977.408 byte disponibili

- - End Of File - - 5EBFCDCA003ECFB16B316D935F791120


Malwarebytes :

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 4444

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

18/08/2010 13.42.08
mbam-log-2010-08-18 (13-42-08).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi esaminati: 270881
Tempo trascorso: 1 ore, 35 minuti, 17 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 1
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
C:\ProgramData\Poke admin tons bike (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\ProgramData\Poke admin tons bike\1 web.dat (Trojan.Agent) -> Quarantined and deleted successfully.


Hijackthis :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.55.35, on 18/08/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\TOPSIC~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\TOP SICRET\Documents\Icone\Armamentario\sjknsdflk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer1.dll
R3 - URLSearchHook: P2P Max IT Toolbar - {d22b76bb-abbd-4eb6-9bbb-f387bf27f76b} - C:\Program Files\P2P_Max_IT\tbP2P0.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer1.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: P2P Max IT Toolbar - {d22b76bb-abbd-4eb6-9bbb-f387bf27f76b} - C:\Program Files\P2P_Max_IT\tbP2P0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer1.dll
O3 - Toolbar: P2P Max IT Toolbar - {d22b76bb-abbd-4eb6-9bbb-f387bf27f76b} - C:\Program Files\P2P_Max_IT\tbP2P0.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [E06IXLRD_827678] "C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Delete Owns] "C:\ProgramData\fast close close.5qenki"
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/ph ... dit-it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.66.134 83.224.65.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.66.134 83.224.65.134
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Servizio di Google Update (gupdate1ca0fa76f5fef37) (gupdate1ca0fa76f5fef37) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11012 bytes


per quanto riguarda O4 - HKCU\..\Run: [Delete Owns] "C:\ProgramData\fast close close.5qenki" , non ho trovato il suddetto file, ma c'è una serie di file col nome identico (fast close close) ognuno con un estensione diversa, nello stesso percorso (C:\ProgramData)

Grazie in anticipo per l'aiuto, [ciao] .

P.S.
stevens ha scritto:ciao

puoi postare il rapporto di combofix?
Eccolo qua [;)] . Scusa se non l'ho messo subito, ma non pensavo di metterci tanto a dividerlo in più parti (e alla fine ho deciso di togliere quella parte dal log di combofix perché era troppo un casino dividerla; nel caso pensi che ti possa servire, fammelo sapere che al massimo la uploado su mediafire, ma se è un casino postarla non immagino analizzarla xD )
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm


Re: Ripulire il pc

Messaggioda stevens » mer ago 18, 2010 3:04 pm

per adesso fai questo controllo

vai su virus total e analizza questo file, sembra sospetto

c:\users\TOP SICRET\AppData\Local\gccwk.bat


lo hai creato tu?
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 3:13 pm

Controllato, il file è pulito, nessun antivirus lo rileva
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » mer ago 18, 2010 3:19 pm

X pct
Distruggi tutte le toolbar, a meno che non abbiano un uso particolare per lui.
Prova a navigare con un browser pulito come chrome o opera e vedi se sono più veloci.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 3:58 pm

ecco fatto, dopo un po' di tentativi sono riuscito a distruggere tutte le toolbar; ho tolto anche ask search assistant, e ho tolto anche la voce : O4 - HKCU\..\Run: [Delete Owns] "C:\ProgramData\fast close close.5qenki"

Adesso la navigazione va molto meglio ; anche con Internet explorer (con Chrome va benissimo [;)] ).

Il pc sembra andare abbastanza ora, anche se non mi convince del tutto, all'avvio hijackthis si era piantato, e ogni tanto fa ancora fatica; ma magari può dipendere dal fatto che ha bisogno di un po' di pulizia (defrag, pulitura disco, ccleaner ecc) .

Ecco il nuovo log di hijackthis, se può servire :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.55.20, on 18/08/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Users\TOPSIC~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Users\TOP SICRET\Documents\Icone\Armamentario\sjknsdflk.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [E06IXLRD_827678] "C:\Program Files\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/ph ... dit-it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.70.62 83.224.66.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{0777942B-32F2-4CFE-9F7B-420FD1446C75}: NameServer = 83.224.70.62 83.224.66.138
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Servizio di Google Update (gupdate1ca0fa76f5fef37) (gupdate1ca0fa76f5fef37) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9138 bytes


Comunque finalmente ora riesco a scrivervi dal pc infetto.

Che dite ? è ancora infetto?
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » mer ago 18, 2010 4:37 pm

Nel log non si vede niente.
Controlla e disabilita questo servizio
O23 - Service: Servizio di Google Update (gupdate1ca0fa76f5fef37) (gupdate1ca0fa76f5fef37) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 5:05 pm

Fatto, l'ho controllato ed è pulito, l'ho disabilitato. (tanto alla fine è inutile, giusto?)

Però purtroppo il pc continua a usare costantemente circa il 90% di Ram , e la CPU varia tra 20 e 85% circa senza apparente motivo. Ho provato anche a disinstallare l'antivirus ma niente, continua ad avere un uso esagerato di Ram e CPU.

Mi viene da pensare che sia ancora infetto.

Avete qualche idea?
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » mer ago 18, 2010 5:13 pm

Nel log di combofix non si vedono rootkit, quale applicazione occupa ram e cpu?
Fai una scansione con avira rescue cd per scoprire se ci sono virus nascosti.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 5:20 pm

è questo il fatto strano, apparentemente non c'è nessuna applicazione che usi tanta Ram o CPU, tutti su valori normali. Però Task manager indica che l'utilizzo di Ram e CPU e attorno al 80 - 90 % (la CPU a scatti, la Ram praticamente costantemente).

Avevo iniziato una scansione con Gmer perché mi era venuto il dubbio , che dici, la interrompo e proseguo direttamente con Avira Rescue cd? (Avira Rescue è quello che si scarica da qua : http://www.avira.com/it/support/downloa ... porto.html ?Se si, ce ne sono due, uno eseguibile .exe , l'altro immagine cd .iso ; quale scarico? )
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » mer ago 18, 2010 5:27 pm

Vai di avira rescue se gmer non ti mostra voci in rosso.
Se sai come si masterizza l'iso per farne un cd di boot usa quella, altrimenti l'exe dovrebbe masterizzarti direttamente lui l'iso.

Scarica mbr.exe http://www2.gmer.net/mbr/mbr.exe lo salvi in c:\, da start esegui apri un prompt di msdos e digiti il comando
c:\mbr.exe -f e poi allega il log
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 5:31 pm

Ok, allora aspetto gmer, se mi dà qualche voce in rosso te lo dico, altrimenti proseguo con Avira; grazie [^] .

Userò l'exe, anche se so come si crea un cd di boot, per evitare di sbagliare xD [std]

P.S. Prima farò l'mbr.exe, ho visto solo ora quella parte del messaggio [;)]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » mer ago 18, 2010 5:36 pm

Pct ha scritto:P.S. Prima farò l'mbr.exe, ho visto solo ora quella parte del messaggio [;)]

E' stata una aggiunta seguente al primo pezzo di messaggio.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 5:44 pm

Oook, tra poco gmer ha finito e nel frattempo potrò fare mbr.exe , intanto sto anche facendo il cd di avira (o almeno, ci sto provando, visto che non mi trova il cd inserito.. mi sa che dovrò provare con un programma di terze parti)
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 5:57 pm

Per creare l'immagine, devo, per esempio con Nero (una versione vecchia, penso 8 ) , andare su cd, crea cd di avvio,giusto? Poi mi si apre un menu dove aggiungere file : devo aggiungere la .iso , (che mi appare come un archivio,non ha l'icona dell'immagine disco), oppure devo estrarre i file dalla iso con winrar, e aggiungere quelli?

Oppure all'inizio dovevo fare monta immagine disco come se fosse un disco normale, invece che andare su crea cd d'avvio?
[boh]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda Pct » mer ago 18, 2010 6:28 pm

Ecco; gmer ha finito e non ha rilevato nulla in rosso.

Ho eseguito mbr.exe come mi hai indicato ; non ho trovato nessun log (non dovrebbe essere in C:\ ? ), ma nella finestra del prompt dei comandi è venuto scritto questo :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device : opened successfully
user: error reading MBR
kernel: error reading MBR
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Ripulire il pc

Messaggioda crazy.cat » gio ago 19, 2010 7:07 am

Pct ha scritto:Per creare l'immagine, devo, per esempio con Nero (una versione vecchia, penso 8 ) , andare su cd, crea cd di avvio,giusto? Poi mi si apre un menu dove aggiungere file : devo aggiungere la .iso , (che mi appare come un archivio,non ha l'icona dell'immagine disco), oppure devo estrarre i file dalla iso con winrar, e aggiungere quelli?
Oppure all'inizio dovevo fare monta immagine disco come se fosse un disco normale, invece che andare su crea cd d'avvio?
[boh]

Non uso più quel mattone di nero da tempo.
Imgburn e Masterizza immagine, prendi l'iso senza fare niente altro e la dai in pasto al programma.
http://www.MegaLab.it/3230/imgburn
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda crazy.cat » gio ago 19, 2010 7:08 am

Pct ha scritto:Ecco; gmer ha finito e non ha rilevato nulla in rosso.

Prova remover.exe
http://www.MegaLab.it/6360/guida-alla-r ... ei-bootkit
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ripulire il pc

Messaggioda Pct » gio ago 19, 2010 8:12 am

Grazie mile crazy ! [^]

Già, nero non piace neanche a me [:p] .

Allora, il pc è di mia cugina, e non mi ha dato il cd di Vista (ho visto dall'articolo che potrebbe servire) ; adesso le chiedo di portarmelo, e non appena me lo porterà proverò remover.exe , e ti farò sapere ; grazie mille per tutto l'aiuto [;)]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising