Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

me scema! virus autodichiarato

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 4:14 pm

Ciao.
L'altro giorno ho installato un altro programma che mi avrebbe dovuto cambiare l' IP, il bello è che quando si apriva, prima dell'installazione, vi era l'ombrello simile a quello di Avira chiuso e buttato in un cestino e io mi son detta: deve essere una coincidenza, quale idiota metterebbe un messaggio così visibile se avesse davvero un significato simbolico del tipo: "io faccio fuori avira"? Perciò, anche perché ho la mania di rischiare e vedere sino alla fine che succede, installo e si dimostra solo apparentemente funzionante, in realtà l'IP non lo cambia affatto, l'ho subito disintallato e eliminato.
Purtroppo il giorno dopo Avira non funzionava più.
Ora vorrei seguire le vostre indicazioni circa questo thread: viewtopic.php?f=33&t=50815
ma provando a scaricare kaspersky, anche cambiandogli il nome, non lo avvia, a volte mi diceva che era già in uso da un altro utente, ma in questo pc c'è solo un utente, altre volte che era impossibile da usare, perché rotto (ma l'ho preso dal isto ufficiale) o per un virus etc., sul sito dice che è possibile se l'altro antivirus non è stato cancellato completamente.
Malwarebytes è stato bello che fregato perché non ha rilevato niente.
Intanto provo le altre vostre indicazioni dell'altra discussione, ma se sapete già dirmi qualcos'altro, ve ne sarei grata.
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda CRYPAX » sab mar 05, 2011 4:34 pm

il nome del programma non lo ricordi ??
posta un log di HijackThis e poi vediamo il da farsi
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: me scema! virus autodichiarato

Messaggioda Al3x » sab mar 05, 2011 4:34 pm

puoi dirci da dove scaricare il programma, sarebbe di grande aiuto capire cos'è

EDIT: anticipato [:)]

dimenticavo, benvenuta
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/


Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 5:09 pm

Grazie.

Più o meno era un "hide your ip free" ma ce ne sono tanti che hanno più o meno questo nome, ma gli altri sono affidabili.
Ho letto poi nei ocmmenti del blog dove era stato segnalato che agli altri l'antivirus lo bloccava, quindi credo che fosse appositamente progrettato per rompere le difese di Avira, dato anche la simpaticissima immagine che appariva.

Ora sto senza antivirus, spero in bene.

Adesso vi mostro il log di Combofix (se non sbaglio ha eliminato di suo qualcosa, giusto?):

ComboFix 11-03-04.06 - Utente 05/03/2011 16.49.53.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.255.145 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Opera\Opera\temporary_downloads\ComboFix.exe
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Utente\Dati applicazioni\PriceGong
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\1.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\a.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\b.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\c.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\d.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\e.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\f.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\g.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\h.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\i.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\J.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\k.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\l.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\m.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\mru.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\n.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\o.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\p.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\q.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\r.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\s.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\t.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\u.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\v.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\w.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\x.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\y.xml
c:\documents and settings\Utente\Dati applicazioni\PriceGong\Data\z.xml
.
.
((((((((((((((((((((((((( Files Creati Da 2011-02-05 al 2011-03-05 )))))))))))))))))))))))))))))))))))
.
.
2011-03-05 01:54 . 2011-03-05 01:55 -------- d-----w- c:\programmi\Glary Utilities
2011-03-05 01:29 . 2011-03-05 01:29 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Opera
2011-03-05 01:28 . 2011-03-05 01:29 -------- d-----w- c:\programmi\Opera
2011-03-04 23:01 . 2011-03-04 23:16 -------- d-----w- c:\programmi\Hide Your IP Address
2011-03-04 04:28 . 2011-03-04 04:29 -------- d-----w- c:\programmi\Ask.com
2011-03-04 04:25 . 2011-03-04 04:48 -------- d-----w- c:\programmi\FreeHideIP
2011-03-02 12:11 . 2008-03-13 21:27 41088 ----a-r- c:\windows\system32\drivers\MOSUMAC.SYS
2011-03-01 04:48 . 2011-03-01 04:48 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\AVSoftware
2011-03-01 04:41 . 2011-02-28 22:55 303240 ----a-w- c:\windows\system32\AVLib.dll
2011-03-01 04:39 . 2011-03-01 04:39 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{1E32E3B5-4057-437A-89C0-748BD3766F81}
2011-03-01 04:34 . 2011-03-01 04:34 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\PackageAware
2011-03-01 03:48 . 2011-03-01 03:48 -------- d-----w- c:\programmi\AnalogX
2011-02-25 02:09 . 2011-03-02 04:59 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\IObit
2011-02-23 04:27 . 2011-02-23 04:30 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\JonDo
2011-02-23 01:57 . 2011-02-23 01:57 -------- d-----w- c:\windows\system32\wbem\Repository
2011-02-20 20:50 . 2010-12-03 19:54 555696 ----a-w- c:\programmi\Mozilla Firefox\uninstall\helper.exe
2011-02-19 08:35 . 2011-02-19 08:35 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\K-Meleon
2011-02-19 08:34 . 2011-02-19 08:36 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\K-Meleon
2011-02-19 08:32 . 2011-02-21 19:24 -------- d-----w- c:\programmi\K-Meleon
2011-02-19 06:30 . 2011-02-19 06:30 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Malwarebytes
2011-02-19 06:29 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-19 06:29 . 2011-02-19 06:29 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-02-19 06:28 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-19 06:28 . 2011-02-19 06:30 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-02-19 05:45 . 2011-02-19 05:45 -------- d-----w- c:\windows\system32\config\systemprofile\Dati applicazioni\Application Updater
2011-02-19 05:44 . 2011-02-19 05:44 -------- d-----w- c:\programmi\IObit
2011-02-18 19:51 . 2011-02-19 00:53 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\FreeFixer
2011-02-18 19:51 . 2011-02-18 19:51 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\FreeFixer
2011-02-18 19:48 . 2011-02-19 05:07 -------- d-----w- c:\programmi\FreeFixer
2011-02-14 01:16 . 2011-02-14 01:18 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Temp
2011-02-14 01:15 . 2011-02-14 01:20 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Google
2011-02-14 00:29 . 2011-02-14 00:29 -------- d-----w- c:\programmi\VS Revo Group
2011-02-13 15:59 . 2011-02-15 02:19 26624 ----a-w- c:\windows\system32\dll.dll
2011-02-13 15:58 . 2011-02-15 05:28 296574 ----a-w- c:\windows\system32\shimg.dll
2011-02-13 11:26 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2011-02-13 02:39 . 2009-02-09 11:23 2192768 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2011-02-13 02:39 . 2009-02-09 11:22 2148864 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-02-13 02:39 . 2009-02-09 11:23 2027520 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-02-13 02:32 . 2008-06-14 17:32 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-02-13 02:32 . 2008-06-14 17:32 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-02-13 02:17 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-02-12 19:47 . 2011-02-12 19:47 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\TuneUp Software
2011-02-12 19:43 . 2011-02-12 23:56 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\TuneUp Software
2011-02-12 19:40 . 2011-02-12 19:40 -------- dcsh--w- c:\documents and settings\All Users\Dati applicazioni\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2011-02-12 02:58 . 2010-12-09 15:14 2196480 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-02-12 02:57 . 2010-12-09 15:14 2073088 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-02-11 07:32 . 2011-02-11 17:08 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2011-02-06 23:37 . 2011-02-06 23:37 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\abelhadigital.com
2011-02-06 23:37 . 2011-02-06 23:37 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\abelhadigital.com
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2008-04-13 17:13 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 17:11 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 16:50 1854976 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 17:13 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2008-04-13 17:13 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2008-04-13 17:14 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 23:53 . 2008-04-13 17:13 43520 ------w- c:\windows\system32\licmgr10.dll
2010-12-20 17:26 . 2008-04-13 17:13 735744 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2008-04-13 16:50 385024 ------w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2008-04-13 17:13 739840 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 14:30 . 2008-04-13 17:13 33280 ----a-w- c:\windows\system32\csrsrv.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44 1400712 ----a-w- c:\programmi\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Alice ti aiuta.lnk]
backup=c:\windows\pss\Alice ti aiuta.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^Utente^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3]
2010-12-16 15:19 2402512 ----a-w- c:\programmi\IObit\Advanced SystemCare 3\AWC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-13 17:14 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
2008-04-13 17:14 172032 -c--a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:11 3872080 ----a-w- c:\programmi\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 17:42 32768 ----a-w- c:\programmi\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 13:21 246504 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\java.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Documents and Settings\\Utente\\Documenti\\Download\\pdf_converter.exe"=
"c:\\Documents and Settings\\Utente\\Desktop\\Hide The IP\\HideTheIP.exe"=
"c:\\Programmi\\Opera\\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3957:TCP"= 3957:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R3 MOSUMAC;USB-Ethernet Driver;c:\windows\system32\drivers\MOSUMAC.SYS [02/03/2011 13.11.22 41088]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [08/09/2010 23.25.19 164352]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-03-05 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2011-03-05 10:28]
.
2011-03-05 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programmi\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://it.ask.com?o=102876&l=dis&gct=hp
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube to Mp3 Converter - c:\documents and settings\Utente\Dati applicazioni\DVDVideoSoftIEHelpers\youtubetomp3.htm
LSP: c:\windows\system32\AVLib.dll
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\nmzv559c.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://it.ask.com?o=102876&l=dis&gct=hp
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?clien ... YYYYYIT&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 81
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 81
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 81
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Free Hide IP: support@free-hideip.com - %profile%\extensions\support@free-hideip.com
FF - Ext: Ask Toolbar: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
FF - user.js: browser.cache.memory.capacity - 16000
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: dom.disable_window_status_change - true
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
FF - user.js: network.proxy.type - 0
FF - user.js: network.proxy.http -
user_pref(network.proxy.http_port,);
FF - user.js: network.proxy.no_proxies_on -
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
URLSearchHooks-{c95a4e8e-816d-4655-8c79-d736da1adb6d} - (no file)
URLSearchHooks-{e3393495-8103-46a0-8181-270273eddd60} - (no file)
URLSearchHooks-{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-05 17:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\AVLib.dll
.
Ora fine scansione: 2011-03-05 17:08:21
ComboFix-quarantined-files.txt 2011-03-05 16:08
.
Pre-Run: 2.497.867.776 byte disponibili
Post-Run: 2.545.467.392 byte disponibili
.
- - End Of File - - 1C846CCF800E1959E7A0E1BFF53F3AA5
Ultima modifica di The Doctor il sab mar 05, 2011 10:55 pm, modificato 1 volta in totale.
Motivazione: inserito tag memo log combofix
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 5:11 pm

Dato che sono senza antivirus mi indicate voi il sito sicuro per HijackThis? Grazie mille.
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 5:26 pm

Non posso modificare i messaggi?

Comunque ho provato a riscaricare kaspersky e quando lo apro: file in uso da un'altra applicazione.

Che vuol dire? Il fatto che le ho cambiato nome non dovrebbe essere un problema poi, credo.
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda crazy.cat » sab mar 05, 2011 5:28 pm

Hai provato a reinstallare un antivirus diverso magari avast?

Hijackthis lo scarichi da questo link
http://www.trendmicro.com/ftp/products/ ... ckThis.exe

Controlla se ci sono questi due file.
grancialtrona ha scritto:2011-02-06 23:37 . 2011-02-06 23:37 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\abelhadigital.com
2011-02-06 23:37 . 2011-02-06 23:37 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\abelhadigital.com


Combofix ha eliminato qualcosa ma non era niente di pericoloso.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 5:39 pm

crazy.cat ha scritto:Hai provato a reinstallare un antivirus diverso magari avast?

Hijackthis lo scarichi da questo link
http://www.trendmicro.com/ftp/products/ ... ckThis.exe

Controlla se ci sono questi due file.
grancialtrona ha scritto:2011-02-06 23:37 . 2011-02-06 23:37 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\abelhadigital.com
2011-02-06 23:37 . 2011-02-06 23:37 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\abelhadigital.com


Combofix ha eliminato qualcosa ma non era niente di pericoloso.


Se ci sono quei file in documents and settings?

Magari gli altri antivirus riescono ad andare ma col virus nel pc, io preferirei scovarlo questo virus, con i migliori ma se i migliori non vanno...

Ecco il log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.43.09, on 05/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Utente\Desktop\Hide The IP\data\AVLib.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\VS Revo Group\Revo Uninstaller\Revouninstaller.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Opera\opera.exe
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Opera\Opera\temporary_downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.ask.com?o=102876&l=dis&gct=hp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Utente\Dati applicazioni\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVRedirector - AVSoftware, Ltd - C:\Documents and Settings\Utente\Desktop\Hide The IP\data\AVLib.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 4955 bytes
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 5:40 pm

E le mille cose che mi ha segnalato le devo cancellare?
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda CRYPAX » sab mar 05, 2011 5:46 pm

queste da eliminare
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

queste sospette
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll

hai provato in modalità provvisoria ??
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: me scema! virus autodichiarato

Messaggioda crazy.cat » sab mar 05, 2011 5:58 pm

grancialtrona ha scritto:Se ci sono quei file in documents and settings?

Si.

io preferirei scovarlo questo virus, con i migliori ma se i migliori non vanno...

Avast non è sicuramente da buttare via...anzi...

Mi sa che il problema siano questi due:
C:\Documents and Settings\Utente\Desktop\Hide The IP\data\AVLib.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll

Vai in pannello di controllo - strumenti amministrazione - servizi e cerchi nella lista dei servizi questo qui
O23 - Service: AVRedirector - AVSoftware, Ltd - C:\Documents and Settings\Utente\Desktop\Hide The IP\data\AVLib.EXE
lo apri e modifichi lo stato dell'avvio da automatico in disabilitato.Dalla stessa schermata puoi anche terminarne l'esecuzione visto che il file è attivo e poi lo puoi cancellare dal disco fisso insieme alla dll che ho indicato prima.

Per questi problemi devi usare lspfix, qui è spiegato come usarlo http://www.MegaLab.it/2406/rimuove-spyw ... emi-al-lsp
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlib.dll
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 6:09 pm

E' possibile che un virus non trovato da avira me lo trovi avast?
Kaspersky poi è partito, non so come e perché, ma era da un sacco su "preparazione installazione", ho interrotto, temo che non ci sia spazio sul mio vecchissimo pc con pochissima memoria, per lui. Quegli ultimi problemi sono gravi o posso evitare?
Hide the IP dovrebbe essere sicuro.
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda crazy.cat » sab mar 05, 2011 6:13 pm

grancialtrona ha scritto:E' possibile che un virus non trovato da avira me lo trovi avast?

Si, perché no.

grancialtrona ha scritto:Hide the IP dovrebbe essere sicuro.

Credevo fosse lui quello che avevi scaricato, allora annulla quello che ho detto.

Prova avast a vedere se si installa, se anche questo non funziona passiamo a qualche live cd con antivirus così non hai problemi ad installare niente sul pc ne se hai poca memoria.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » sab mar 05, 2011 6:28 pm

Scusami, ho letto ora, no ancora non in modalità provvisoria.

Quelle due cose da te indicate crazy ci sono, le devo cancellare?

Ho 2 GB liberi nel disco.
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » dom mar 06, 2011 2:17 am

Per il Giuda! Soccorsi!
Se prima era lento ora non è neanche usabile.
Ho riprovato ad inserire Avira, dopo Avast, che va bene, ho disattivato quest'ultimo, scaricato e installato Avira, aveva iniziato a scansionare, ma io ho riavviato il pc e subito si è disattivato, compromesso del tutto, non si riesce ad attivarlo.
Inoltre, mi disabilita pure i firewall! Cioè mi dice che sono disabilitati ma vado a vedere e risultano attivati.

Va lentissimo anche se ho tolto IE e Google Chrome.

E a me serve il pc per la ricerca del lavoro, invio curriculum e altre cose urgenti, proprio in questo momento!

Avast non ha trovato niente.

Ho notato che combfix nell'essere scaricato dava errore, possibile non fossero affidabili i suoi risultati?

La modalità provvisoria serve solo perché non ci sia connessione? Non faccio prima a non connettermi e fare la scansione così?

Inoltre, ero tanto contenta di Opera da ieri, oggi già mi va meglio K-Meleon invece, che prima andava peggio, ogni giorno un browser diverso, come inizialmente con Mozilla anzichè IE, poi andata in malora pure lei.

Forse il programma è questo ma io non l'ho preso da questo sito e vi ricordo che molti scrivevano che veniva bloccato dal loro antiviurs; io me ne sono accorta dopo: http://www.generazione-internet.com/201 ... e-hide-ip/

Salvatemi : )
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » dom mar 06, 2011 2:28 am

Ho trovato il link esatto: io l'ho scaricato da qui: http://aranzulla.tecnologia.virgilio.it ... 13053.html
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » dom mar 06, 2011 4:00 am

Scusate, ho rifatto lo scan con combofix, questa volta è stato scaricato con successo, però mi dà errore di incompatibilità, dice che è compatibile solo con con windows xp e windows 2000 ma il mio è proprio xp, solo ehm tarocco.
Ho disattivato l'antivirus ma mi diceva che era ancora attivo "antivir desktop" che non so neanche cosa sia e non ho trovato sul desktop.
Ora cercherò di installare kaspersky e fare uno scan anche con quello, poi però, poichè la memoria è poca sceglierò che antivirus tenere, dato che avira prima è stata ancora messa fuori gioco è evidente che il virus non è stato trovato.

Ad ogni modo il log ultimo è stato questo:

ComboFix 11-03-05.01 - Utente 06/03/2011 3.33.19.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.255.116 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CC9-7C92-0300-000000000000}
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\jestertb.dll
c:\windows\system32\Dll.dll
c:\windows\system32\shimg.dll
.
.
((((((((((((((((((((((((( Files Creati Da 2011-02-06 al 2011-03-06 )))))))))))))))))))))))))))))))))))
.
.
2011-03-06 00:06 . 2011-03-06 02:01 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2011-03-05 17:40 . 2011-02-23 14:54 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-03-05 17:40 . 2011-02-23 14:56 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-03-05 17:39 . 2011-02-23 14:55 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-03-05 17:39 . 2011-02-23 14:55 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-03-05 17:39 . 2011-02-23 14:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-03-05 17:39 . 2011-02-23 14:55 102232 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-03-05 17:39 . 2011-02-23 14:55 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-03-05 17:39 . 2011-02-23 14:54 30680 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-03-05 17:37 . 2011-02-23 15:04 40648 ----a-w- c:\windows\avastSS.scr
2011-03-05 17:37 . 2011-02-23 15:04 190016 ----a-w- c:\windows\system32\aswBoot.exe
2011-03-05 17:34 . 2011-03-05 17:34 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\AVAST Software
2011-03-05 17:34 . 2011-03-05 17:34 -------- d-----w- c:\programmi\AVAST Software
2011-03-05 01:54 . 2011-03-05 01:55 -------- d-----w- c:\programmi\Glary Utilities
2011-03-05 01:29 . 2011-03-05 01:29 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Opera
2011-03-05 01:28 . 2011-03-05 01:29 -------- d-----w- c:\programmi\Opera
2011-03-04 23:01 . 2011-03-04 23:16 -------- d-----w- c:\programmi\Hide Your IP Address
2011-03-04 04:28 . 2011-03-05 18:09 -------- d-----w- c:\programmi\Ask.com
2011-03-04 04:25 . 2011-03-04 04:48 -------- d-----w- c:\programmi\FreeHideIP
2011-03-02 12:11 . 2008-03-13 21:27 41088 ----a-r- c:\windows\system32\drivers\MOSUMAC.SYS
2011-03-01 04:48 . 2011-03-01 04:48 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\AVSoftware
2011-03-01 04:41 . 2011-02-28 22:55 303240 ----a-w- c:\windows\system32\AVLib.dll
2011-03-01 04:39 . 2011-03-01 04:39 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{1E32E3B5-4057-437A-89C0-748BD3766F81}
2011-03-01 04:34 . 2011-03-01 04:34 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\PackageAware
2011-03-01 03:48 . 2011-03-01 03:48 -------- d-----w- c:\programmi\AnalogX
2011-02-25 02:09 . 2011-03-02 04:59 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\IObit
2011-02-23 04:27 . 2011-02-23 04:30 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\JonDo
2011-02-23 01:57 . 2011-02-23 01:57 -------- d-----w- c:\windows\system32\wbem\Repository
2011-02-20 20:50 . 2010-12-03 19:54 555696 ----a-w- c:\programmi\Mozilla Firefox\uninstall\helper.exe
2011-02-19 08:35 . 2011-02-19 08:35 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\K-Meleon
2011-02-19 08:34 . 2011-02-19 08:36 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\K-Meleon
2011-02-19 08:32 . 2011-02-21 19:24 -------- d-----w- c:\programmi\K-Meleon
2011-02-19 06:30 . 2011-02-19 06:30 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Malwarebytes
2011-02-19 06:29 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-19 06:29 . 2011-02-19 06:29 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-02-19 06:28 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-19 06:28 . 2011-02-19 06:30 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-02-19 05:45 . 2011-02-19 05:45 -------- d-----w- c:\windows\system32\config\systemprofile\Dati applicazioni\Application Updater
2011-02-19 05:44 . 2011-02-19 05:44 -------- d-----w- c:\programmi\IObit
2011-02-18 19:51 . 2011-02-19 00:53 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\FreeFixer
2011-02-18 19:51 . 2011-02-18 19:51 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\FreeFixer
2011-02-18 19:48 . 2011-02-19 05:07 -------- d-----w- c:\programmi\FreeFixer
2011-02-14 01:16 . 2011-02-14 01:18 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Temp
2011-02-14 01:15 . 2011-03-05 22:16 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Google
2011-02-14 00:29 . 2011-02-14 00:29 -------- d-----w- c:\programmi\VS Revo Group
2011-02-13 11:26 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2011-02-13 02:39 . 2009-02-09 11:23 2192768 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2011-02-13 02:39 . 2009-02-09 11:22 2148864 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-02-13 02:39 . 2009-02-09 11:23 2027520 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-02-13 02:32 . 2008-06-14 17:32 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-02-13 02:32 . 2008-06-14 17:32 272768 ------w- c:\windows\system32\drivers\bthport.sys
2011-02-13 02:17 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-02-12 19:47 . 2011-02-12 19:47 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\TuneUp Software
2011-02-12 19:43 . 2011-02-12 23:56 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\TuneUp Software
2011-02-12 19:40 . 2011-02-12 19:40 -------- dcsh--w- c:\documents and settings\All Users\Dati applicazioni\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2011-02-12 02:58 . 2010-12-09 15:14 2196480 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-02-12 02:57 . 2010-12-09 15:14 2073088 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-02-11 07:32 . 2011-02-11 17:08 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2011-02-06 23:37 . 2011-02-06 23:37 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\abelhadigital.com
2011-02-06 23:37 . 2011-02-06 23:37 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\abelhadigital.com
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2008-04-13 17:13 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 17:11 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 16:50 1854976 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 17:13 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 17:26 . 2008-04-13 17:13 735744 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-09 15:15 . 2008-04-13 17:13 739840 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 14:30 . 2008-04-13 17:13 33280 ----a-w- c:\windows\system32\csrsrv.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 122512 ----a-w- c:\programmi\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\programmi\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Alice ti aiuta.lnk]
backup=c:\windows\pss\Alice ti aiuta.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^Utente^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3]
2010-12-16 15:19 2402512 ----a-w- c:\programmi\IObit\Advanced SystemCare 3\AWC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-13 17:14 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
2008-04-13 17:14 172032 -c--a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:11 3872080 ----a-w- c:\programmi\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 17:42 32768 ----a-w- c:\programmi\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 13:21 246504 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\java.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Documents and Settings\\Utente\\Documenti\\Download\\pdf_converter.exe"=
"c:\\Documents and Settings\\Utente\\Desktop\\Hide The IP\\HideTheIP.exe"=
"c:\\Programmi\\Opera\\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3957:TCP"= 3957:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [05/03/2011 18.39.52 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [05/03/2011 18.40.13 301528]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [05/03/2011 18.40.14 19544]
R2 AVRedirector;AVRedirector;c:\documents and settings\Utente\desktop\Hide The IP\data\AVLib.EXE [28/02/2011 23.55.35 3186824]
R3 MOSUMAC;USB-Ethernet Driver;c:\windows\system32\drivers\MOSUMAC.SYS [02/03/2011 13.11.22 41088]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [08/09/2010 23.25.19 164352]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-03-06 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2011-03-05 10:28]
.
2011-03-06 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programmi\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://it.ask.com?o=102876&l=dis&gct=hp
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube to Mp3 Converter - c:\documents and settings\Utente\Dati applicazioni\DVDVideoSoftIEHelpers\youtubetomp3.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\nmzv559c.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://it.ask.com?o=102876&l=dis&gct=hp
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?clien ... YYYYYIT&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 81
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 81
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 81
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Free Hide IP: support@free-hideip.com - %profile%\extensions\support@free-hideip.com
FF - Ext: Ask Toolbar: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
FF - user.js: browser.cache.memory.capacity - 16000
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: dom.disable_window_status_change - true
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
FF - user.js: network.proxy.type - 0
FF - user.js: network.proxy.http -
user_pref(network.proxy.http_port,);
FF - user.js: network.proxy.no_proxies_on -
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-06 03:49
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Ora fine scansione: 2011-03-06 03:55:34
ComboFix-quarantined-files.txt 2011-03-06 02:55
ComboFix2.txt 2011-03-05 16:08
.
Pre-Run: 2.488.160.256 byte disponibili
Post-Run: 2.700.967.936 byte disponibili
.
- - End Of File - - E1F1F2C27A96BB8BF9E95D8ECD9B1D4A
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Re: me scema! virus autodichiarato

Messaggioda crazy.cat » dom mar 06, 2011 7:32 am

Mi sono perso, dici di aver installato avast, poi che si è disabilitato, poi non ha trovato niente.
Ma funziona o non funziona?

Comunque nel secondo log di combofix ci sono delle nuove dll eliminate e quindi qualcosa le ricrea ogni volta.

Potresti provare a scaricare questa iso http://devbuilds.kaspersky-labs.com/dev ... cueDisk10/ di kaspersky che contiene il loro antivirus aggiornato e fare una scansione dal cd, facendo il boot dal cd in modo da essere indipendente dal tuo sistema operativo infetto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: me scema! virus autodichiarato

Messaggioda Ale2695 » dom mar 06, 2011 11:18 am

Ma sei sicura che sia il programma che hai segnalato (FreeHideIP) ad averti creato problemi? Ho fatto analizzare l'installer del programma su VirusTotal, e nessun antivirus lo rileva come malevolo (link analisi). In più, il file segnalato è presente sul sito Brothersoft, che a quanto so è un sito sicuro dove scaricare programmi per Windows...
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: me scema! virus autodichiarato

Messaggioda grancialtrona » dom mar 06, 2011 11:19 am

Avast va, poi l'ho disabilitato per provare avira la quale però continua a non andare.
Ho fatto una scansione in modalità provvisoria con avast, ha trovato tre malware di pericolo elevato, di cui uno in un vecchissimo file musicale che non è mai andato (e non me l'hanno mai segnalato). Spero di averli eliminati, come dovevo senza rovinar niente.
Sempre in modalità provvisoria ho riusato combofix che questa volta non ha eliminato niente, mi pare, e malwarebytes che non ha trovato niente come l'altra volta.

Stavo pensando: ma fare il ripristino di sistema che mi ha salvato tantissime volte?
Il virus così viene eliminato?
E non è comunque preferibile per i danni causati al pc?

Quel coso che mi hai scritto come lo faccio?
Avatar utente
grancialtrona
Aficionado
Aficionado
 
Messaggi: 26
Iscritto il: sab mar 05, 2011 4:03 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising