www.MegaLab.it

da **mitrha** » dom nov 14, 2010 12:29 pm

ho qualche processo sconosciuto nel mio pc che nn riesco a risolvere. lasciandolo semplicemente acceso senza fare niente ho il puntatore perennemente con la clessidra lampeggiante e un uso della CPU tra il 90 e il 100%.ho provato in provvisoria e va tutto ok nn ci sono processi nascosti in corso. ho analizzato con avira,MBAM,Combofix HIJAK e Superantispy.. ho trovato con MBAM qualcosa che ho eliminato ma il problema continua. premetto che il problema è iniziato con l'istallazione di UNLOcker.vi posto il
LOG di AVIRA durante l'istallazione di UNLOCER :

10/11/2010 11.53 [ProActiv] Rilevato possibile software dannoso
È stato rilevato un possibile software dannoso
avviato dal file 'C:\Documents and Settings\Manuel
Valori\Documenti\Download\Unlocker1%5B1%5D.9.0.exe'.
Operazione selezionata dall’utente: Chiudi l’applicazione

ma interrompendo l'istallazione e iniziato il problema. questo è il log di MBAM :

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 5105

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

13/11/2010 15.56.12
mbam-log-2010-11-13 (15-56-12).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 175214
Tempo trascorso: 23 minuti, 18 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

questo il LOG di SUPERANTISPYWARE:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/13/2010 at 04:26 PM

Application Version : 4.45.1000

Core Rules Database Version : 5795
Trace Rules Database Version: 3607

Scan type : Complete Scan
Total Scan Time : 00:19:37

Memory items scanned : 223
Memory threats detected : 0
Registry items scanned : 5804
Registry threats detected : 0
File items scanned : 16090
File threats detected : 81

Adware.Tracking Cookie
.edmaster.adbureau.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.doubleclick.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.imrworldwide.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.imrworldwide.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.bs.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.serving-sys.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.tribalfusion.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.ru4.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.ru4.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.paypal.112.2o7.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.atdmt.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.atdmt.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.247realmedia.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.media6degrees.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.media6degrees.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.media6degrees.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.media6degrees.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.atdmt.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.atdmt.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.apmebf.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.mediaplex.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.mediaplex.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.content.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.server.cpmstar.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.server.cpmstar.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
tracking.novem.pl [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
tracking.novem.pl [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.invitemedia.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adbrite.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adbrite.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adbrite.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adbrite.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adecn.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.primeloopstracking.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.zanox.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.zanox.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
ad.yieldmanager.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
http://www.googleadservices.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.kontera.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.legolas-media.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.legolas-media.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.legolas-media.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
track.adform.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
track.adform.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.adform.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.tradedoubler.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.tradedoubler.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.tradedoubler.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.xiti.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.tradedoubler.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.collective-media.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.revsci.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.revsci.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.revsci.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.insightexpressai.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.invitemedia.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.invitemedia.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.revsci.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
.revsci.net [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\cookies.sqlite ]
primeloopstracking.com [ C:\Documents and Settings\Manuel Valori\Dati applicazioni\Macromedia\Flash Player\#SharedObjects\GL8VGM6W ]

ECCO il LOG di HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15.57.07, on 13/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Manuel Valori\Documenti\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 4918 bytes

E questo è il LOG di COMBOFIX

ComboFix 10-11-12.04 - Manuel Valori 13/11/2010 15.59.46.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.678 [GMT 1:00]
Eseguito da: c:\documents and settings\Manuel Valori\Documenti\Download\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {0012F2B4-5CE9-7C92-0300-000000000000}
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {7698207D-3A00-003E-AC1D-9876381E9876}
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-10-13 al 2010-11-13 )))))))))))))))))))))))))))))))))))
.

2010-11-13 12:56 . 2010-11-13 12:56 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Malwarebytes
2010-11-13 12:56 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-13 12:56 . 2010-11-13 12:56 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-11-13 12:56 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-13 12:56 . 2010-11-13 12:56 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-11-13 11:58 . 2010-11-13 11:59 -------- d-----w- c:\programmi\eMule
2010-11-13 00:07 . 2010-11-13 00:07 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\PACE Anti-Piracy
2010-11-12 23:41 . 2010-11-12 23:41 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Cycling '74
2010-11-12 23:41 . 2010-11-13 00:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PACE Anti-Piracy
2010-11-12 23:41 . 2010-11-12 23:41 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\PACE Anti-Piracy
2010-11-12 23:41 . 2010-11-12 23:41 -------- d-----w- c:\programmi\File comuni\PACE Anti-Piracy
2010-11-10 21:52 . 2010-10-08 16:57 233472 ----a-w- c:\windows\system32\REX Shared Library.dll
2010-11-10 21:52 . 2010-10-08 16:57 368640 ----a-w- c:\windows\system32\ReWire.dll
2010-11-10 21:48 . 2010-11-12 22:18 -------- d-----w- c:\programmi\Ableton
2010-11-10 11:56 . 2010-11-10 11:56 0 ----a-w- c:\windows\ativpsrm.bin
2010-11-10 11:11 . 2010-11-12 22:28 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Ableton
2010-11-10 11:11 . 2010-11-12 22:28 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Ableton
2010-11-08 21:43 . 2010-11-08 21:43 -------- d-----w- c:\programmi\VS Revo Group
2010-11-05 22:16 . 2010-11-05 22:16 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\Help
2010-11-04 20:57 . 2010-11-04 20:57 -------- d-----w- c:\programmi\ToniArts
2010-11-04 20:55 . 2010-11-04 21:52 -------- d-----w- c:\programmi\Network Associates
2010-11-02 12:20 . 2010-11-02 12:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2010-11-02 12:20 . 2010-11-02 12:20 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\SUPERAntiSpyware.com
2010-11-02 12:19 . 2010-11-02 12:20 -------- d-----w- c:\programmi\SUPERAntiSpyware
2010-10-31 18:24 . 2005-03-03 18:32 86094 ----a-w- c:\windows\system32\ImageDrive.cpl
2010-10-31 18:16 . 2010-11-13 11:30 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\vlc
2010-10-31 16:37 . 2010-10-31 16:37 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Avira
2010-10-31 16:35 . 2010-10-31 16:34 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-31 16:35 . 2010-10-31 16:35 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2010-10-31 16:35 . 2010-10-31 16:35 -------- d-----w- c:\programmi\Avira
2010-10-31 16:35 . 2010-10-31 16:34 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-10-31 16:35 . 2010-10-31 16:34 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-31 16:35 . 2010-10-31 16:34 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-10-30 20:34 . 2010-10-30 20:34 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\Copy Handler
2010-10-30 19:04 . 2010-10-31 17:25 -------- d-----w- c:\programmi\Copy Handler
2010-10-29 11:31 . 2010-10-29 11:31 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Uniblue
2010-10-29 10:35 . 2010-10-29 10:37 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\OpenCandy
2010-10-29 10:35 . 2010-10-29 10:35 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\OpenCandy
2010-10-29 10:32 . 2010-10-29 10:32 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Canneverbe Limited
2010-10-26 10:33 . 2010-10-31 17:36 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\Opera
2010-10-25 10:52 . 2010-10-25 10:52 -------- d-----w- c:\windows\Sun
2010-10-24 11:28 . 2010-10-24 11:28 -------- d-----w- c:\programmi\Nokia
2010-10-24 11:28 . 2009-02-09 06:37 91136 ----a-w- c:\windows\system32\nmwcdcls.dll
2010-10-24 11:27 . 2010-10-24 11:27 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Installations
2010-10-24 10:46 . 2010-10-24 10:46 -------- d-----w- c:\programmi\Glary Utilities
2010-10-22 17:58 . 2010-10-22 17:58 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\WMTools Downloaded Files
2010-10-19 18:11 . 2010-10-19 18:59 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Autodesk
2010-10-19 18:11 . 2010-10-19 18:28 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Autodesk
2010-10-19 18:11 . 2010-10-19 18:11 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\Autodesk
2010-10-19 17:48 . 2004-05-11 08:53 82432 ----a-r- c:\windows\system32\MSXML4r.dll
2010-10-19 17:48 . 2004-05-11 08:53 626960 ----a-r- c:\windows\system32\hpvaut32.dll
2010-10-19 17:48 . 2004-05-11 08:53 487424 ----a-r- c:\windows\system32\hpvcp70.dll
2010-10-19 17:48 . 2004-05-11 08:53 44544 ----a-r- c:\windows\system32\MSXML4a.dll
2010-10-19 17:48 . 2004-05-11 08:53 344064 ----a-r- c:\windows\system32\hpvcr70.dll
2010-10-18 10:07 . 2010-10-18 10:07 -------- d-----w- c:\programmi\Recuva
2010-10-18 09:52 . 2008-04-13 17:13 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-10-17 10:22 . 2010-10-17 10:22 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\Talkback
2010-10-17 10:22 . 2010-10-17 10:22 -------- d-----w- c:\documents and settings\Manuel Valori\Impostazioni locali\Dati applicazioni\Mozilla
2010-10-16 14:35 . 2010-10-31 17:39 -------- d-----w- c:\programmi\AVG
2010-10-16 13:36 . 2010-10-16 13:36 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\TextPad
2010-10-16 13:36 . 2010-10-16 13:39 -------- d-----w- c:\programmi\TextPad 4
2010-10-16 13:36 . 1998-02-06 19:37 299520 ----a-w- c:\windows\uninst.exe
2010-10-16 13:36 . 2010-10-16 13:36 -------- d-----w- c:\documents and settings\Manuel Valori\WINDOWS
2010-10-16 13:06 . 2010-10-16 13:06 -------- d-----w- c:\documents and settings\Manuel Valori\Dati applicazioni\dvdcss

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-12 15:53 . 2010-10-12 15:53 368912 ----a-w- c:\windows\system32\VBAR332.DLL
2010-10-12 15:53 . 2010-10-12 15:53 252176 ----a-w- c:\windows\system32\MSRD2X35.DLL
2010-10-12 15:53 . 2010-10-12 15:53 24848 ----a-w- c:\windows\system32\MSJTER35.DLL
2010-10-12 15:53 . 2010-10-12 15:53 123664 ----a-w- c:\windows\system32\MSJINT35.DLL
2010-10-12 15:53 . 2010-10-12 15:53 1045776 ----a-w- c:\windows\system32\MSJET35.DLL
2010-09-18 10:23 . 2006-03-02 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2006-03-02 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2006-03-02 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2006-03-02 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:49 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:49 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:49 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:51 . 2006-03-02 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2006-03-02 12:00 1852800 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2006-03-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:58 . 2006-03-02 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2006-03-02 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2006-03-02 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
.

------- Sigcheck -------

[-] 2009-08-06 . 62BB79160F86CD962F312C68C6239BFD . 53472 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe
[-] 2009-08-06 . 62BB79160F86CD962F312C68C6239BFD . 53472 . . [7.4.7600.226] . . c:\windows\system32\dllcache\wuauclt.exe
[7] 2008-04-13 . E8B6AF451AE34742DA3D9623F7E94EFD . 111616 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[7] 2006-03-02 . 197FB5735293C1DE647B02BBD8121A9F . 111616 . . [5.4.3790.2180] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-10-31 281768]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programmi\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BDARemote.lnk]
backup=c:\windows\pss\BDARemote.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2010-02-10 21:32 61440 ----a-w- c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\eMule\\emule.exe"=

S1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 19.25.48 12872]
S1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 19.41.30 67656]
S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programmi\Avira\AntiVir Desktop\avmailc.exe [31/10/2010 17.35.30 339624]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programmi\Avira\AntiVir Desktop\sched.exe [31/10/2010 17.35.31 135336]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programmi\Avira\AntiVir Desktop\avwebgrd.exe [31/10/2010 17.35.30 403624]
.
Contenuto della cartella 'Scheduled Tasks'

2010-11-13 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2010-10-24 19:55]
.
.
------- Scansione supplementare -------
.
uLocal Page = c:\windows\pchealth\helpctr\System\panels\blank.htm
uStart Page = hxxp://www.google.it/
LSP: c:\programmi\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\documents and settings\Manuel Valori\Dati applicazioni\Mozilla\Firefox\Profiles\srfv5li1.default\
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Toolbar-Locked - (no file)
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 16:03
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*’|8[]]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"="\16"
"MFG"="?????"
"ReinstallString"="c:\\WINDOWS\\System32\\ReinstallBackups\\]???\\DriverFiles\\.INF"
"DeviceInstanceIds"=multi:"\0c\00"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*’|`³g]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"=""
"MFG"="?????"
"ReinstallString"="c:\\WINDOWS\\System32\\ReinstallBackups\\]???\\DriverFiles\\.INF"
"DeviceInstanceIds"=multi:"\0c\00"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(996)
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2010-11-13 16:05:01
ComboFix-quarantined-files.txt 2010-11-13 15:04

Pre-Run: 161.474.142.208 byte disponibili
Post-Run: 161.488.060.416 byte disponibili

- - End Of File - - 74572B3902A34335A729C85412608264

SE qualcuno sa aiutarmi gli sarei mooolto grato il mio pc è diventato una lumaca!!! [cry]

da **FDAC** » dom nov 14, 2010 1:46 pm

Ciao.
- Scarica Avenger dal link sottostante:
http://swandog46.geekstogo.com/avenger.zip
- Scompattalo in una sua cartella non temporanea e non sul Desktop

- Avvia Avenger
- Clicca Ok
- Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Files to delete:
c:\windows\system32\drivers\avipbb.sys
c:\windows\system32\drivers\avgntflt.sys
c:\windows\system32\wmpns.dll

Folders to delete:
c:\programmi\AVG

- Togli la spunta da Scan for Rootkit
- Clicca su Execute e aspetta un po'.
- Il PC dovrebbe riavviarsi; se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger.

P.S. La nuova versione di Avenger ha un problema che si presenta abbastanza di frequente, quando tenti di eseguire lo script ottieni questo messaggio di errore:

Error: invalid script. Avalid script must begin with a command directive.
Aborting execution!

In questo caso prova a cancellare e riscrivere la prima riga dello script e poi a rieseguirlo.

POI

Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Disinstalla:
Skype Toolbars
SuperantiSpyware Free

- Scarica Stealth MBR rootkit detector
http://www2.gmer.net/mbr/mbr.exe
- Mettilo direttamente nella Directory C:\
- Riavvia il Pc in modalità provvisoria premendo F8
- Start - Esegui - digita C:\mbr.exe e clicca su OK
- Salva il log MBR1 ed allegatelo per il controllo

da **mitrha** » lun nov 15, 2010 11:19 am

HO fatto quello che mi ha scritto ecco i risultati:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000BB-55GUC0 rev.08.02D08 -> Harddisk0\DR0 -> \Device\0000005b

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 15 10:50:56 2010

10:50:56: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 15 10:51:24 2010

10:51:24: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 15 10:52:13 2010

10:52:13: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 15 10:52:29 2010

10:52:29: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Nov 15 10:54:04 2010

10:54:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\avipbb.sys" deleted successfully.
File "c:\windows\system32\drivers\avgntflt.sys" deleted successfully.
File "c:\windows\system32\wmpns.dll" deleted successfully.
Folder "c:\programmi\AVG" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

nella scansione di HIJAck mi manca la riga:O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
e la riga: O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
nn mi parte più la protezione in temporeale di avira. nn riesco a farlo ripartire .
comunque grazie tanto per il tuo aiuto ma... si può sapere che cosa mi sono beccato??? [acc2]

da **mitrha** » lun nov 15, 2010 1:20 pm

volevo precisare che ho fixato anche la riga n 03,e avira funziona. [:)]

ma il problema nn è risolto ho sempre la CPU al 95-100% e il pc sempre lento.
inoltre ho trovato una cartella in documenti denominata qoobox con dentro tre cartelle:BackEnv,Quarantine(RegistryBackup+C) e Backup. nn ricordo da cosa è stata generata [B)]

.
GRAZIE a TUTTI!! [:)]

da **hashcat** » lun nov 15, 2010 2:53 pm

mitrha ha scritto:volevo precisare che ho fixato anche la riga n 03,e avira funziona. ma il problema non è risolto ho sempre la CPU al 95-100% e il pc sempre lento.
inoltre ho trovato una cartella in documenti denominata qoobox con dentro tre cartelle:BackEnv,Quarantine(RegistryBackup+C) e Backup. non ricordo da cosa è stata generata .
GRAZIE a TUTTI!!

La cartella qoobox è creata da combofix, quindi è sicura.

da **mitrha** » mer nov 17, 2010 11:27 am

qualcuno può aiutarmi???? [rotfl]

nn sono riuscito a risolvere niente [cry]

Il mio pc sta andando sempre più lento [up]

da **Uomo_Senza_Sonno** » mer nov 17, 2010 12:30 pm

mitrha ha scritto:qualcuno può aiutarmi?

Prova a seguire questa strada

da **mitrha** » gio nov 18, 2010 11:32 am

per ora ho disinstallato avira e tutto va bene,il processo sconosciuto è sparito e tutto sembra funzionare [:)]

mah!?

da **farbix89** » gio nov 18, 2010 3:49 pm

mitrha ha scritto:per ora ho disinstallato avira e tutto va bene,il processo sconosciuto è sparito e tutto sembra funzionare
mah!?

è probabile che il processo di Avira consumava troppa CPU per colpa di qualche malware "nascosto".

Ora hai rimosso l'AV,ma il malware?

Segui il consiglio di Uomo senza sonno,e dopo scansiona in provvisoria come indicato qui

topic65911.html

Almeno ti togli il dubbio e vai sul sicuro.

Non sai che AV mettere? Ecco alcune soluzioni gratuite:

Avast 5 o COMODO

da **mitrha** » ven nov 19, 2010 12:32 pm

grazie a tutti per il vs aiuto.dopo aver disinstallato Avira(avevo la versione Premium in omaggio per 6 mesi) sembra che tutto va bene. ho effettuato alcune scansioni con alcuni av e sembra tutto a posto [^]