www.MegaLab.it

[Palpas]

Niente da fare, anche con il SP3 il problema si manifesta.

Ho notato una cosa: il problema si verifica sporadicamente, ma ogni volta che tentavo di installare il SP3 si presentava...inoltre non riesco neanche a fare il ripristino configurazione di sistema....
Sembra proprio che si manifesti quando vengono coinvolte numerose quantità di file...Quindi ho fatto un controllo con HD tune, ma l'hard disk è risultato in perfetta salute...

[Sabbb]

Mi dispiace che non riesci a venirne a capo.Io comunque direi di salvarti tutto il salvabile,magari anche (se necessario) con una live Linux e di passare al format.Avresti un bel sistema scattante performante e tutto il resto.Lo so ,è una faticaccia installare e reinstallare tutto quanto,ma almeno vai sul sicuro. E visto che mi trovo;se segui il mio modesto suggerimento,suggerisco anche di farti una bella immagine del OS appena installato e aggiornato di pach e programmi.Per Xp c'è Acronis 8:freware e funziona alla grande. hehe..

[FDAC]

Prova a scansione con Combofix.

[Palpas]

grazie Sabb...infatti sto iniziando a valutare questa soluzione.
Quello che potevo ho fatto tutto...il problema non mi da altri indizi percorribili.

Prova a scansione con Combofix.

Ok provo

[Sabbb]

Io forse sono un tantino paranoico su certe cose,ma fatto sta che appena (se) prendo un virus ripristino sempre l'immagine del OS:di fatto non si sa (salvo eccezioni) quali e quanti file ha modificato e-o compromesso.Magari se ho tempo cerco di eliminarlo di bonificare,ma solo per passione e per capire,ma ripristino a prescindere.Faccio backup circa ogni settimana (a volte anche prima) tanto devo solo fare un paio di click:lavora il pc,mica io! Quindi a restore effettuato ho solo da fare pochissimo,a volte prorpio niente . OT.ho un problemino con pannello controllo utente,e non vedo la sezione per contattare qualche buona anima per un aiutino.Ti mando un pm,se puoi dacci un occhiata.Ciao

[everi]

se non funziona il ripristino di sistema...bella non e' .....ci vogliono cure radicali..

[Palpas]

OT.ho un problemino con pannello controllo utente,e non vedo la sezione per contattare qualche buona anima per un aiutino.Ti mando un pm,se puoi dacci un occhiata.Ciao

ok

[Palpas]

ecco il log di combofix

ComboFix 10-11-26.07 - Saverio 27/11/2010 15.46.19.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.672 [GMT 1:00]
Eseguito da: c:\documents and settings\Saverio\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {00000002-0002-0000-14EF-9D7C08000A00}
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000010-0000-0000-0000-0000D8023B00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000010-0000-0000-0000-0000D8023D00}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\ST6UNST.000
c:\windows\system32\drivers\hwinterface.sys

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_hwinterface
-------\Service_hwinterface


((((((((((((((((((((((((( Files Creati Da 2010-10-27 al 2010-11-27 )))))))))))))))))))))))))))))))))))
.

2010-11-27 13:09 . 2010-11-27 13:09 -------- d-----w- c:\programmi\HD Tune
2010-11-25 20:16 . 2006-12-28 11:01 19569 ----a-w- c:\windows\002973_.tmp
2010-11-24 22:34 . 2010-11-24 22:34 -------- d-----w- c:\programmi\x2line
2010-11-23 20:51 . 2010-11-23 20:51 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Opera
2010-11-23 20:51 . 2010-11-24 20:23 -------- d-----w- c:\programmi\Opera
2010-11-22 21:49 . 2010-11-23 20:28 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Temp
2010-11-22 21:49 . 2010-11-22 21:49 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Google
2010-11-22 21:48 . 2010-11-23 20:51 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Google
2010-11-22 21:48 . 2010-11-22 21:53 -------- d-----w- c:\programmi\Google
2010-11-18 23:05 . 2010-11-18 23:05 -------- d-----w- c:\documents and settings\Saverio\Dati applicazioni\Malwarebytes
2010-11-18 23:05 . 2010-11-22 19:11 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-11-18 23:05 . 2010-11-18 23:05 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-11-14 19:57 . 2010-11-14 19:58 -------- d-----w- c:\programmi\Intel
2010-11-14 19:53 . 2010-11-16 20:36 -------- d-----w- c:\programmi\nLite
2010-11-08 18:16 . 2010-11-08 18:16 -------- d-----w- c:\documents and settings\Saverio\Dati applicazioni\Avira
2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programmi\Internet Explorer\PLUGINS\nppdf32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-31 20:18 . 2010-08-31 18:39 22528 ----a-w- c:\windows\system32\mswinsck.oca
2010-10-03 12:01 . 2010-06-01 17:00 285480 ----a-w- c:\windows\system32\guard32.dll
2010-10-03 12:01 . 2010-06-01 17:00 91560 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-10-03 12:01 . 2010-06-01 17:00 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-10-03 12:01 . 2010-06-01 17:00 15592 ----a-w- c:\windows\system32\drivers\cmderd.sys
2010-10-03 12:01 . 2010-06-04 09:55 239240 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2010-09-09 20:05 . 2010-09-09 20:05 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-01 13:22 . 2010-06-27 16:45 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-09-01 13:22 . 2010-06-27 16:45 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-31 18:45 . 2010-08-31 19:05 16384 ----a-w- c:\windows\system32\view.exe
2008-10-11 10:03 . 2010-07-13 10:28 1530880 ----a-w- c:\programmi\siw.exe
2008-02-08 11:17 . 2010-09-11 13:25 1286144 ----a-w- c:\programmi\cpuz.exe
2007-04-22 16:12 . 2010-08-23 11:41 1019904 ----a-w- c:\programmi\Editor esadecimale.exe
2006-10-29 00:20 . 2010-07-21 19:21 817664 ----a-w- c:\programmi\depends.exe
.

------- Sigcheck -------

[-] 2010-07-14 . 6947DF4D4E9A14929976D3A8234E2F9C . 296960 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\termsrv.dll
[-] 2010-07-14 . 6947DF4D4E9A14929976D3A8234E2F9C . 296960 . . [5.1.2600.2180] . . c:\windows\system32\termsrv.dll

[-] 2004-08-19 17:27 . 907601D4078A5526CDA46536A4288E44 . 924432 . . [4.1.6140] . . c:\windows\$NtServicePackUninstall$\mfc40u.dll
[-] 2004-08-19 17:27 . 907601D4078A5526CDA46536A4288E44 . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cfp.exe" [2010-10-03 2500552]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Saverio\Menu Avvio\Programmi\Esecuzione automatica\
Mozilla Sunbird.lnk - c:\programmi\Mozilla Sunbird\sunbird.exe [2010-6-26 8829440]
No-IP DUC.lnk - c:\programmi\No-IP\DUC20.exe [2010-6-26 1172992]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-03-27 08:03 13684736 ----a-w- c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\VMware\\VMware Player\\vmware-authd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09/09/2010 21.05.37 691696]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04/06/2010 10.55.58 239240]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01/06/2010 18.00.22 25240]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [20/05/2010 23.40.04 70704]
R2 VMUSBArbService;VMware USB Arbitration Service;c:\programmi\Common Files\VMware\USB\vmware-usbarbitrator.exe [20/05/2010 22.40.20 539184]
S2 DXSOFTIO;DXSOFTIO; [x]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [22/11/2010 22.48.53 136176]
S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27/01/2010 3.09.02 50704]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [18/07/2010 17.49.15 93216]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [18/07/2010 17.49.15 32800]
S3 SolarWinds TFTP Server;SolarWinds TFTP Server;c:\programmi\SolarWinds\TFTPServer\SolarWinds TFTP Server.exe [01/11/2007 10.06.22 61440]
.
Contenuto della cartella 'Scheduled Tasks'

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-22 21:48]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyServer = 127.0.0.1:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programmi\VMware\VMware Player\vsocklib.dll
TCP: {7DC6D84B-35B5-48DA-A3B7-6D60A1EDE5AB} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Saverio\Dati applicazioni\Mozilla\Firefox\Profiles\51crciq8.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: network.proxy.ftp - 127.0.0.1
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 127.0.0.1
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programmi\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programmi\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programmi\Java\jre6\lib\deploy\jqs\ff
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

AddRemove-HijackThis - c:\docume~1\Saverio\IMPOST~1\Temp\7zO8D.tmp\HijackThis.exe
AddRemove-hp print screen utility - c:\program files\Hewlett-Packard\hp print screen utility\UnInstall\prnunins.exe
AddRemove-mIRC - c:\documents and settings\Saverio\Desktop\Nuova cartella\mirc.exe
AddRemove-{9E3A2DDB-3B38-47CB-BF90-7D5B15A89B30}_is1 - c:\programmi\LexstWebSpider\unins000.exe
AddRemove-{DDBB7C89-1A09-441E-AA0F-6AA465755C17} - c:\programmi\InstallShield Installation Information\{DDBB7C89-1A09-441E-AA0F-6AA465755C17}\Setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-27 15:57
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(1036)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(2772)
c:\windows\system32\guard32.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Ora fine scansione: 2010-11-27 16:00:25 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-11-27 15:00

Pre-Run: 132.902.363.136 byte disponibili
Post-Run: 134.349.176.832 byte disponibili

- - End Of File - - 02D50CB5F34F53B64AC113D392838BAE

[FDAC]

Carica questi su Virustotal:
c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
c:\programmi\Internet Explorer\PLUGINS\nppdf32.dll
c:\windows\system32\view.exe

Posta qui l'esito di ognuno.
Il Pc aveva una brutta infezione.

Prima pero':

Start - Esegui e digita: notepad.exe
● clicca Ok
● copia le righe qui sotto, senza saltarne nessuna:

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

● le incolli all'interno dell'editor di testo Notepad
● clicca in alto su File
● nel menù che vedi scegli Salva con nome
● controlla che in alto, dove c'è scritto Salva in, sia selezionato Desktop
● in Nome file se trovi selezionato .txt lo cancelli, e scrivi CFScript.txt
● clicca Salva
● adesso, sul Desktop, trovi il file di testo
● con il tasto sinistro del mouse, lo trascini sopra l'icona di Combofix, lo rilasci, e parte la scansione di Combofix
● non toccare più ne' mouse ne' tastiera, finche' non è finita
● se il sistema non si riavvia da solo, riavvialo tu
● a questo punta allega il log di Combofix utilizzando il tag memo :)

E dimmi come va il PC, dopo averlo riavviato.

[Palpas]

gli elementi che mi hai detto di inviare a virustotal sono risultati puliti (0 rilevazioni)

ecco il log di combofix con lo script

ComboFix 10-11-27.01 - Saverio 28/11/2010 13.35.10.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.658 [GMT 1:00]
Eseguito da: c:\documents and settings\Saverio\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Saverio\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {00000002-0002-0000-14EF-9D7C08000A00}
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000010-0000-0000-0000-0000D8023B00}
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {00000010-0000-0000-0000-0000D8023C00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000010-0000-0000-0000-0000D8023D00}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-10-28 al 2010-11-28 )))))))))))))))))))))))))))))))))))
.

2010-11-28 04:32 . 2010-11-28 12:11 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-11-28 04:32 . 2006-06-19 12:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2010-11-28 04:32 . 2006-05-25 14:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2010-11-28 04:32 . 2005-08-26 00:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2010-11-28 04:32 . 2003-02-02 19:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2010-11-28 04:32 . 2002-03-06 00:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2010-11-28 04:32 . 2010-11-28 04:32 -------- d-----w- c:\programmi\Trojan Remover
2010-11-28 04:32 . 2010-11-28 04:32 -------- d-----w- c:\documents and settings\Saverio\Dati applicazioni\Simply Super Software
2010-11-28 04:32 . 2010-11-28 04:32 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Simply Super Software
2010-11-27 16:51 . 2005-01-28 14:22 827392 ----a-w- c:\programmi\Windows Media Player\wmsetsdk.exe
2010-11-27 16:51 . 2004-12-21 11:13 47616 ----a-w- c:\programmi\Windows Media Player\msoobci.dll
2010-11-27 13:09 . 2010-11-27 13:09 -------- d-----w- c:\programmi\HD Tune
2010-11-25 20:16 . 2006-12-28 11:01 19569 ----a-w- c:\windows\002973_.tmp
2010-11-24 22:34 . 2010-11-24 22:34 -------- d-----w- c:\programmi\x2line
2010-11-23 20:51 . 2010-11-23 20:51 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Opera
2010-11-23 20:51 . 2010-11-24 20:23 -------- d-----w- c:\programmi\Opera
2010-11-22 21:49 . 2010-11-23 20:28 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Temp
2010-11-22 21:49 . 2010-11-22 21:49 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Google
2010-11-22 21:48 . 2010-11-23 20:51 -------- d-----w- c:\documents and settings\Saverio\Impostazioni locali\Dati applicazioni\Google
2010-11-22 21:48 . 2010-11-22 21:53 -------- d-----w- c:\programmi\Google
2010-11-18 23:05 . 2010-11-18 23:05 -------- d-----w- c:\documents and settings\Saverio\Dati applicazioni\Malwarebytes
2010-11-18 23:05 . 2010-11-22 19:11 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-11-18 23:05 . 2010-11-18 23:05 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-11-14 19:57 . 2010-11-14 19:58 -------- d-----w- c:\programmi\Intel
2010-11-14 19:53 . 2010-11-16 20:36 -------- d-----w- c:\programmi\nLite
2010-11-08 18:16 . 2010-11-08 18:16 -------- d-----w- c:\documents and settings\Saverio\Dati applicazioni\Avira
2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programmi\Internet Explorer\PLUGINS\nppdf32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-31 20:18 . 2010-08-31 18:39 22528 ----a-w- c:\windows\system32\mswinsck.oca
2010-10-03 12:01 . 2010-06-01 17:00 285480 ----a-w- c:\windows\system32\guard32.dll
2010-10-03 12:01 . 2010-06-01 17:00 91560 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-10-03 12:01 . 2010-06-01 17:00 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-10-03 12:01 . 2010-06-01 17:00 15592 ----a-w- c:\windows\system32\drivers\cmderd.sys
2010-10-03 12:01 . 2010-06-04 09:55 239240 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2010-09-09 20:05 . 2010-09-09 20:05 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-01 13:22 . 2010-06-27 16:45 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-09-01 13:22 . 2010-06-27 16:45 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-31 18:45 . 2010-08-31 19:05 16384 ----a-w- c:\windows\system32\view.exe
2010-08-31 18:40 . 2010-08-31 19:05 28672 ----a-w- c:\windows\system32\Sekis.exe
2008-10-11 10:03 . 2010-07-13 10:28 1530880 ----a-w- c:\programmi\siw.exe
2008-02-08 11:17 . 2010-09-11 13:25 1286144 ----a-w- c:\programmi\cpuz.exe
2007-04-22 16:12 . 2010-08-23 11:41 1019904 ----a-w- c:\programmi\Editor esadecimale.exe
2006-10-29 00:20 . 2010-07-21 19:21 817664 ----a-w- c:\programmi\depends.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cfp.exe" [2010-10-03 2500552]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"TrojanScanner"="c:\programmi\Trojan Remover\Trjscan.exe" [2010-08-02 1167808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Saverio\Menu Avvio\Programmi\Esecuzione automatica\
Mozilla Sunbird.lnk - c:\programmi\Mozilla Sunbird\sunbird.exe [2010-6-26 8829440]
No-IP DUC.lnk - c:\programmi\No-IP\DUC20.exe [2010-6-26 1172992]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-03-27 08:03 13684736 ----a-w- c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\VMware\\VMware Player\\vmware-authd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09/09/2010 21.05.37 691696]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04/06/2010 10.55.58 239240]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01/06/2010 18.00.22 25240]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [20/05/2010 23.40.04 70704]
R2 VMUSBArbService;VMware USB Arbitration Service;c:\programmi\Common Files\VMware\USB\vmware-usbarbitrator.exe [20/05/2010 22.40.20 539184]
S2 DXSOFTIO;DXSOFTIO; [x]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [22/11/2010 22.48.53 136176]
S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27/01/2010 3.09.02 50704]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [18/07/2010 17.49.15 93216]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [18/07/2010 17.49.15 32800]
S3 SolarWinds TFTP Server;SolarWinds TFTP Server;c:\programmi\SolarWinds\TFTPServer\SolarWinds TFTP Server.exe [01/11/2007 10.06.22 61440]
.
Contenuto della cartella 'Scheduled Tasks'

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-22 21:48]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyServer = 127.0.0.1:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programmi\VMware\VMware Player\vsocklib.dll
TCP: {7DC6D84B-35B5-48DA-A3B7-6D60A1EDE5AB} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Saverio\Dati applicazioni\Mozilla\Firefox\Profiles\51crciq8.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: network.proxy.ftp - 127.0.0.1
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 127.0.0.1
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programmi\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programmi\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programmi\Java\jre6\lib\deploy\jqs\ff
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-28 13:39
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(1036)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(3980)
c:\windows\system32\guard32.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
Ora fine scansione: 2010-11-28 13:46:41
ComboFix-quarantined-files.txt 2010-11-28 12:46
ComboFix2.txt 2010-11-27 15:00

Pre-Run: 134.057.459.712 byte disponibili
Post-Run: 134.060.703.744 byte disponibili

- - End Of File - - 97A85EF35F94896C29A2A9E6E637639F

Il problema comunque ancora si ripresenta

Ormai sono sicuro che è un rootkit...anche perché la cartella system32 è piena di file cloni, ecco un esempio:


Avira non segnala nulla
Malwarebytes non segnala nulla
AVG anti rootkit non ha rilevato nulla
Panda antirootkit non ha rilevato nulla
Combofix idem

In assenza di allarmi non potevo di certo accorgermi della presenza di rootkit (il taskmanager era pulito), ormai è andata cosi....sono stato sfortunato Erano anni che non prendevo un virus, doveva pur accadere
Formatto e via, tanto non dovrebbe essere un bootkit (mbr.exe è OK), grazie per l'aiuto

[Uomo_Senza_Sonno]

Ciao Palpas, se sei convinto che sia un rootkit, facciamo un controllo, ed eventualmente procediamo con la rimozione. Ovviamente la formattazione è inutile difronte a questo problema, a meno che non sia a basso livello.

Segui questa guida e posta il settore 0, 60, 61, 62, 63.

[Palpas]

Ormai ho formattato!

COvviamente la formattazione è inutile difronte a questo problema, a meno che non sia a basso livello.

Ma come? mica è un bootkit... (o almeno mbr.exe ha detto che va tutto bene)
Ho quasi finito a reinstallare tutto...non mi dire cosi!!

[Uomo_Senza_Sonno]

Le componenti rootkit rimangono fuori dal filesystem proprio per rimanere nascoste, sia agli antivirus che ai controlli del sistema operativo. Invece, con un editor esadecimale, riesci a controllare e a rimuovere eventuali infezioni.

Ad ogni modo, se hai già formattato e se tutto si è risolto (oltrettutto mbr.exe non ti ha rilevato nulla), ti direi che puoi stare tranquillo. Se vuoi postare i settori giusto per scrupolo, sono qui pronto ad vederli

[Palpas]

[Uomo_Senza_Sonno]

In genere, in sistemi installati in lingua italiana, ci si rende conto di una possibile infezione da rootkit se apriamo il settore 0 e troviamo del codice in lingua differente da quella installata. In questo caso, l'mbr è a posto, meglio così

[Palpas]

meglio cosi