www.MegaLab.it

da **garret92** » lun giu 04, 2012 1:31 am

Ciao a tutti,
ho avviato la pulitura del disco e quando stava eliminando i file temporanei di internet è comparso un messaggio di avira, che segnalava un virus, che ho rimosso. Purtroppo mi sa che questo non sia stato eliminato. Infatti il giorno dopo accendendo il pc la memoria libera (circa 40 GB) si andava lentamente riempiendo, fino a riempirsi del tutto. Ho provato a liberare spazio, inutilmente (infatti cancellavo file per 8 GB di spazio e si creavano poche centinaia di MB liberi). Ho avviato la scansione antivirus che non ha dato risultati. Ho avviato la pulizia del disco, per creare spazio eliminando file temporanei ed altro, ed ho notato che una voce ''Stati salvati di Roxio BackOnTrack'' occupava uno spazio di 40 GB, cosa anomala, visto che il punto di ripristino non occupava più di 3GB di spazio. Questa voce ''Stati salvati di Roxio BackOnTrack'' pesava sempre di più ogni volta che eliminavo file. Ho provato a eliminare il programma da ''Istallazione Applicazioni'' mi dava errore 04c7. Se provavo manualmente mi dava un altro errore, legato ad una dll. Sono comunque riuscito ad eliminare in parte il programma e lo spazio ha cominciato lentamente a liberarsi, fino a che è arrivato a 19 GB. Nel frattempo è sorto un altro problema: l'antivirus (avira) non si avvia! L'ho disinstallato e per installarlo nuovamente ho dovuto da Esegui->service.smc riattivare Windows Istaller che risultava bloccato. Pensavo di aver risolto tutto, ma sta mattina l'antivirus non parte nuovamente.
Cosa posso fare? Vorrei fare una scansione del sistema per postarvela e darvi più informazioni possibili, ma non so da dove farla e come.
Grazie anticipatamente per l'aiuto. :)

da **crazy.cat** » lun giu 04, 2012 4:03 am

garret92 ha scritto:Vorrei fare una scansione del sistema per postarvela e darvi più informazioni possibili, ma non so da dove farla e come.

Iniziamo con questa scansione http://www.MegaLab.it/2286/pagina-inizi ... hijackthis e poi vedremo come procedere.
Roxio sarà probabilmente tenuto in vita da qualche servizio attivo e per quello non si lasciava rimuovere.

da **garret92** » lun giu 04, 2012 11:43 am

Questo è il risultato:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.41.46, on 04/06/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\programmi\idt\wdm\STacSV.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\fsproflt.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Skype\Updater\Updater.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\MARCOL~1\IMPOST~1\Temp\Rar$EXa0.639\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe" //mailurl:mailto:armenigiardini@tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-289857532-3307141164-1466306369-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\WINDOWS\system32\fsproflt.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Skype C2C Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programmi\idt\wdm\STacSV.exe

--
End of file - 6073 bytes

da **garret92** » lun giu 04, 2012 11:57 am

Aggiungo un'altra scansione, fatta con la versione 2.0.5 scaricata dalla sezione download del forum.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.55.46, on 04/06/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programmi\idt\wdm\STacSV.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\fsproflt.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Marco Licari\Documenti\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe" //mailurl:mailto:armenigiardini@tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-289857532-3307141164-1466306369-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\WINDOWS\system32\fsproflt.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Skype C2C Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programmi\idt\wdm\STacSV.exe

--
End of file - 6946 bytes

da GERONIMO* » lun giu 04, 2012 5:06 pm

riapri hijackthis e fixa queste voci
selezionale e clicca su Fixchecked

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk

09 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Marco Licari\Desktop\PartyPoker.it.lnk

O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)

O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)

O23 - Service: Skype C2C Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe (file missing)

poi disattiva il ripristino di configurazione di sistema
http://support.microsoft.com/kb/310405/it
RIAVVIA IL PC

Riattiva il ripristino di configurazione di sistema
e vedi se lo spazio sull' hhd e ritornato [;)]

da **garret92** » lun giu 04, 2012 8:58 pm

Ho fatto tutto quello che hai scritto e lo spazio è rimasto invariato. L'antivirus non funziona ancora. Cosa devo fare per scovare eventuali worm ed eliminarli?

P.S.: dimenticavo, ogni tanto parte windows installer che tenta di ripristinare Roxio BackOnTrack e, a meno che non termini l'operazione dal task manager, la finestra non si può chiudere.

da GERONIMO* » mar giu 05, 2012 11:30 am

inizia facendo una scansione completa con Malwarebytes
http://www.MegaLab.it/3634/guida-comple ... ti-malware

da **garret92** » mer giu 06, 2012 10:04 am

questo è il risultato:

Malwarebytes Anti-Malware (Prova) 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.06.05.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Marco Licari :: MARCO [amministratore]

Protezione: Attivata

06/06/2012 2.00.58
mbam-log-2012-06-06 (02-00-58).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 273535
Tempo impiegato: 3 ore, 59 minuti, 14 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BetClic Poker (PUP.Casino) -> Nessuna azione intrapresa.

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Cattivo: (1) Buono: (0) -> Spostato in quarantena e riparato con successo.

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 3
C:\Documents and Settings\Marco Licari\Documenti\Downloads\SetupPoker_13b8.exe (PUP.Casino) -> Nessuna azione intrapresa.
C:\Poker\BetClic Poker\_SetupPoker_13b8.exe (PUP.Casino) -> Nessuna azione intrapresa.
C:\System Rollback Data\Restore\Current\52671\4\Target\RECYCLER\S-1-5-21-289857532-3307141164-1466306369-1005\Dc9.exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.

(fine)

riavvio e comunico se l'antivirus funziona di nuovo...

da GERONIMO* » mer giu 06, 2012 10:10 am

non ho capito bene
funziona l'antivirus adesso?

da **garret92** » mer giu 06, 2012 10:35 am

No, non funziona ancora (aspettavo di riavviare per saperlo). Altre idee? Mi tocca per forza formattare? :|

da **Uomo_Senza_Sonno** » mer giu 06, 2012 10:50 am

Esegui una scansione con un rescue disk, come riportato in quest'articolo. Cosa importante, prima di eseguire la scansione è bene aggiornare le definizioni (devi collegarti necessariamente con un cavo di rete) [^]

da GERONIMO* » mer giu 06, 2012 11:21 am

non vedo perché bisogna usare un rescue disk per questo problema [boh]

di solito si usano quando i pc sono bloccati o non si avvia windows
io direi di fare una scansione con combofix che è un tool e veloce e sicuramente risolve il problema
segui qui come usarlo
http://www.MegaLab.it/2827/4

e posta il report che rilascia [^]

da **Uomo_Senza_Sonno** » mer giu 06, 2012 12:11 pm

GERONIMO* ha scritto:non vedo perché bisogna usare un rescue disk per questo problema

Semplicemente perché a sistema operativo spento è più semplice eliminare ogni traccia di malware, che a sistema operativo attivo possono rimanere attive perché insediate in servizi essenziali per l'avvio corretto.
In fondo si tratta solo di una scansione antivirus.

garret92 ha scritto:No, non funziona ancora (aspettavo di riavviare per saperlo). Altre idee? Mi tocca per forza formattare? :|

Non necessariamente, prima fai una prova con combofix e se non risolvi (ovvero non si ristabilisce tutto come prima) prova una scansione con il rescue disk. [^]

da **garret92** » mer giu 06, 2012 10:17 pm

Ora provo combo fix e vi faccio sapere. Per rescue disck mi sa che mi dovrò procurare un cavo ethernet...

da **garret92** » mer giu 06, 2012 11:02 pm

ComboFix 12-06-06.02 - Marco Licari 06/06/2012 23.31.44.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1015.559 [GMT 2:00]
Eseguito da: c:\documents and settings\Marco Licari\Documenti\Downloads\ComboFix.exe
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programmi\HP\HPBTWD.exe
c:\windows\system32\OLDFD.tmp
c:\windows\system32\SETC2.tmp
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-06 al 2012-06-06 )))))))))))))))))))))))))))))))))))
.
.
2012-06-05 23:59 . 2012-06-05 23:59 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-05 23:57 . 2012-06-05 23:57 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Malwarebytes
2012-06-05 23:57 . 2012-06-05 23:57 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-05 23:57 . 2012-06-05 23:57 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-05 23:57 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-04 19:24 . 2012-06-04 19:24 -------- d-----w- c:\windows\LastGood
2012-06-03 01:37 . 2012-06-03 01:37 -------- d-----w- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Identities
2012-06-02 10:55 . 2012-06-02 10:55 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Avira
2012-06-02 10:49 . 2012-02-03 13:26 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-06-02 10:49 . 2012-02-03 13:26 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-06-02 10:49 . 2012-02-03 13:26 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-06-02 10:49 . 2012-06-02 10:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2012-05-24 17:44 . 2012-05-24 17:44 -------- d-----w- c:\documents and settings\Administrator
2012-05-22 13:05 . 2012-05-22 13:05 -------- d-----w- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\PCHealth
2012-05-11 18:00 . 2012-05-11 18:00 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Mozilla-Cache
2012-05-10 22:34 . 2012-05-10 22:34 -------- d-----w- c:\programmi\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:21 . 2011-09-28 07:06 603136 ----a-w- c:\windows\system32\crypt32.dll
2012-05-04 23:00 . 2012-04-03 23:28 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-04 23:00 . 2012-03-02 06:22 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51 . 2012-04-11 13:51 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2012-04-11 13:51 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2012-04-11 13:51 1862272 ----a-w- c:\windows\system32\win32k.sys
2012-04-01 22:16 . 2012-04-01 22:05 21840 ----atw- c:\windows\system32\SIntfNT.dll
2012-04-01 22:16 . 2012-04-01 22:05 17212 ----atw- c:\windows\system32\SIntf32.dll
2012-04-01 22:16 . 2012-04-01 22:05 12067 ----atw- c:\windows\system32\SIntf16.dll
2012-04-01 22:03 . 2012-04-01 22:03 2829 ----a-w- c:\windows\DIIUnin.pif
2012-04-01 22:03 . 2012-04-01 22:03 102400 ----a-w- c:\windows\DIIUnin.exe
2012-04-01 21:42 . 2012-04-01 21:41 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2012-02-03 258512]
"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 -c--a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AESTFltr]
2009-07-06 21:06 737280 ----a-w- c:\windows\system32\AESTFltr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2012-02-03 13:26 258512 ----a-w- c:\programmi\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-15 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
2012-02-02 15:16 3035968 ----a-w- c:\programmi\DAEMON Tools Pro\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Facebook Update]
2012-03-11 01:01 137536 ----atw- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-05-25 17:38 116648 ----atw- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-15 21:46 159744 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP]
2009-07-14 01:54 589104 -c--a-w- c:\programmi\Hewlett-Packard\HP QuickSync\QuickSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-15 21:46 135168 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mylbx]
2010-05-28 01:00 1699552 ----a-w- c:\programmi\My Lockbox\mylbx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-02-15 21:46 131072 ----a-w- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-04-05 09:41 17356424 ----a-r- c:\programmi\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 13:02 254696 -c--a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2009-01-16 02:40 1418536 -c--a-w- c:\programmi\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTrayApp]
2009-06-29 20:44 458844 ----a-w- c:\programmi\IDT\WDM\sttray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WirelessAssistant]
2009-07-23 09:04 498744 ----a-w- c:\programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269"=2 (0x2)
"CiSvc"=3 (0x3)
"BOTService"=2 (0x2)
"BITS"=2 (0x2)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"aspnet_state"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"winmgmt"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"LanmanServer"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"hpqwmiex"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"SCardSvr"=3 (0x3)
"RSVP"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"MSIServer"=3 (0x3)
"mnmsrvc"=3 (0x3)
"lanmanworkstation"=2 (0x2)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Hewlett-Packard\\HP QuickSync\\jre\\bin\\javaw.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Documents and Settings\\Marco Licari\\Impostazioni locali\\Dati applicazioni\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
R0 FSProFilter;FSPro File Filter;c:\windows\system32\drivers\FSPFltd.sys [05/03/2012 1.14.33 43792]
R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [11/08/2009 13.17.08 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [11/08/2009 13.17.08 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [01/07/2009 23.10.54 103792]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [02/06/2012 12.49.16 36000]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [01/04/2012 23.41.32 242240]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [11/08/2009 13.17.09 25584]
R2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [02/06/2012 12.49.19 86224]
R2 fsproflt;FSPro Filter Service;c:\windows\system32\fsproflt.exe [05/03/2012 1.14.34 142648]
R2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [06/06/2012 1.57.31 654408]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [11/08/2009 13.03.47 113664]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [31/03/2009 22.11.44 39424]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [06/06/2012 1.57.30 22344]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [05/04/2012 11.37.38 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04/04/2012 1.28.12 257696]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [06/06/2012 1.59.32 40776]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RTS5121.sys -->

c:\windows\system32\Drivers\RTS5121.sys [?]

S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys -->

c:\windows\system32\DRIVERS\Rts516xIR.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;c:\programmi\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe -->

c:\programmi\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe [?]

S4 BOTService;BOTService;"c:\programmi\Roxio\BackOnTrack\Instant Restore\BOTService.exe" -->

c:\programmi\Roxio\BackOnTrack\Instant Restore\BOTService.exe [?]

S4 Skype C2C Service;Skype C2C Service;"c:\documents and settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe" -->

c:\documents and settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe [?]

.
Contenuto della cartella 'Scheduled Tasks'
.
2012-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 23:00]
.
2012-06-06 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005Core.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe [2012-03-11 01:01]
.
2012-06-06 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005UA.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe [2012-03-11 01:01]
.
2012-06-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005Core.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-05-25 17:38]
.
2012-06-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005UA.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-05-25 17:38]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe" //mailurl:mailto:armenigiardini@tiscali.it
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.39.0.1 10.39.0.1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
MSConfigStartUp-HP BTW Detect Program - c:\programmi\HP\HPBTWD.exe
MSConfigStartUp-snp2uvc - c:\windows\vsnp2uvc.exe
AddRemove-HijackThis - c:\docume~1\MARCOL~1\IMPOST~1\Temp\Rar$EXa0.639\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-06 23:53
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
.
.
Scansione completata con successo

.
**************************************************************************
.
Ora fine scansione: 2012-06-06 23:59:38
ComboFix-quarantined-files.txt 2012-06-06 21:59
.
Pre-Run: 19.974.275.072 byte disponibili
Post-Run: 20.233.347.072 byte disponibili
.
- - End Of File - - 67D5E48922F3D309768673DE4F8744DA

Andy94: tutti i report generati dai programmi vanno inseriti con il tag MEMO. [grazie]

da GERONIMO* » gio giu 07, 2012 9:33 am

crea un nuovo documento di testo sul desktop
ci copi e incolli dentro lo script che vedi sotto
e lo salvi con il nome di CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix
Immagine

Codice: Seleziona tutto: KillAll:: File:: c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe c:\programmi\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe c:\programmi\Roxio\BackOnTrack\Instant Restore\BOTService.exe c:\documents and settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe Folder:: c:\windows\Tasks c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update c:\programmi\Roxio\BackOnTrack\Disaster Recovery c:\programmi\Roxio\BackOnTrack\Instant Restore c:\documents and settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Facebook Update] Driver:: BOTService Skype C2C Service DDS:: TCP: DhcpNameServer = 10.39.0.1 10.39.0.1

da **garret92** » gio giu 07, 2012 4:44 pm

ComboFix 12-06-06.02 - Marco Licari 07/06/2012 17.01.26.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1015.496 [GMT 2:00]
Eseguito da: c:\documents and settings\Marco Licari\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Marco Licari\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira Desktop *Enabled/Updated* {00000000-0715-0000-08F2-12003094807C}
* Creato nuovo punto di ripristino
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
FILE ::
"c:\documents and settings\All Users\Dati applicazioni\Skype\Toolbars\Skype C2C Service\c2c_service.exe"
"c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe"
"c:\programmi\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe"
"c:\programmi\Roxio\BackOnTrack\Instant Restore\BOTService.exe"
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BOTSERVICE
-------\Legacy_SKYPE_C2C_SERVICE
-------\Service_BOTService
-------\Service_Skype C2C Service
-------\Legacy_9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269
-------\Service_9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-07 al 2012-06-07 )))))))))))))))))))))))))))))))))))
.
.
2012-06-05 23:59 . 2012-06-05 23:59 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-05 23:57 . 2012-06-05 23:57 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Malwarebytes
2012-06-05 23:57 . 2012-06-05 23:57 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-05 23:57 . 2012-06-06 23:06 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-04 19:24 . 2012-06-04 19:24 -------- d-----w- c:\windows\LastGood
2012-06-03 01:37 . 2012-06-03 01:37 -------- d-----w- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Identities
2012-06-02 10:55 . 2012-06-02 10:55 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Avira
2012-06-02 10:49 . 2012-06-02 10:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2012-05-24 17:44 . 2012-05-24 17:44 -------- d-----w- c:\documents and settings\Administrator
2012-05-22 13:05 . 2012-05-22 13:05 -------- d-----w- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\PCHealth
2012-05-11 18:00 . 2012-05-11 18:00 -------- d-----w- c:\documents and settings\Marco Licari\Dati applicazioni\Mozilla-Cache
2012-05-10 22:34 . 2012-05-10 22:34 -------- d-----w- c:\programmi\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:21 . 2011-09-28 07:06 603136 ----a-w- c:\windows\system32\crypt32.dll
2012-05-04 23:00 . 2012-04-03 23:28 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-04 23:00 . 2012-03-02 06:22 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51 . 2012-04-11 13:51 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2012-04-11 13:51 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2012-04-11 13:51 1862272 ----a-w- c:\windows\system32\win32k.sys
2012-04-01 22:16 . 2012-04-01 22:05 21840 ----atw- c:\windows\system32\SIntfNT.dll
2012-04-01 22:16 . 2012-04-01 22:05 17212 ----atw- c:\windows\system32\SIntf32.dll
2012-04-01 22:16 . 2012-04-01 22:05 12067 ----atw- c:\windows\system32\SIntf16.dll
2012-04-01 22:03 . 2012-04-01 22:03 2829 ----a-w- c:\windows\DIIUnin.pif
2012-04-01 22:03 . 2012-04-01 22:03 102400 ----a-w- c:\windows\DIIUnin.exe
2012-04-01 21:42 . 2012-04-01 21:41 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
.
.
((((((((((((((((((((((((((((( SnapShot@2012-06-06_21.53.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-07 15:26 . 2012-06-07 15:26 16384 c:\windows\temp\Perflib_Perfdata_7dc.dat
- 2009-04-14 11:24 . 2012-05-12 13:50 99230 c:\windows\system32\perfc010.dat
+ 2009-04-14 11:24 . 2012-06-07 15:02 99230 c:\windows\system32\perfc010.dat
- 2009-04-14 11:24 . 2012-05-12 13:50 83932 c:\windows\system32\perfc009.dat
+ 2009-04-14 11:24 . 2012-06-07 15:02 83932 c:\windows\system32\perfc009.dat
+ 2009-04-14 11:24 . 2012-06-07 15:02 543016 c:\windows\system32\perfh010.dat
- 2009-04-14 11:24 . 2012-05-12 13:50 543016 c:\windows\system32\perfh010.dat
- 2009-04-14 11:24 . 2012-05-12 13:50 493388 c:\windows\system32\perfh009.dat
+ 2009-04-14 11:24 . 2012-06-07 15:02 493388 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 -c--a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AESTFltr]
2009-07-06 21:06 737280 ----a-w- c:\windows\system32\AESTFltr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2012-02-03 13:26 258512 ----a-w- c:\programmi\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-15 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
2012-02-02 15:16 3035968 ----a-w- c:\programmi\DAEMON Tools Pro\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-05-25 17:38 116648 ----atw- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-15 21:46 159744 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP]
2009-07-14 01:54 589104 -c--a-w- c:\programmi\Hewlett-Packard\HP QuickSync\QuickSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-15 21:46 135168 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mylbx]
2010-05-28 01:00 1699552 ----a-w- c:\programmi\My Lockbox\mylbx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-02-15 21:46 131072 ----a-w- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-04-05 09:41 17356424 ----a-r- c:\programmi\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 13:02 254696 -c--a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2009-01-16 02:40 1418536 -c--a-w- c:\programmi\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTrayApp]
2009-06-29 20:44 458844 ----a-w- c:\programmi\IDT\WDM\sttray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WirelessAssistant]
2009-07-23 09:04 498744 ----a-w- c:\programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269"=2 (0x2)
"CiSvc"=3 (0x3)
"BOTService"=2 (0x2)
"BITS"=2 (0x2)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"aspnet_state"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"winmgmt"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"LanmanServer"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"hpqwmiex"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"SCardSvr"=3 (0x3)
"RSVP"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"MSIServer"=3 (0x3)
"mnmsrvc"=3 (0x3)
"lanmanworkstation"=2 (0x2)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Hewlett-Packard\\HP QuickSync\\jre\\bin\\javaw.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Documents and Settings\\Marco Licari\\Impostazioni locali\\Dati applicazioni\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
R0 FSProFilter;FSPro File Filter;c:\windows\system32\drivers\FSPFltd.sys [05/03/2012 1.14.33 43792]
R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [11/08/2009 13.17.08 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [11/08/2009 13.17.08 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [01/07/2009 23.10.54 103792]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [01/04/2012 23.41.32 242240]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [11/08/2009 13.17.09 25584]
R2 fsproflt;FSPro Filter Service;c:\windows\system32\fsproflt.exe [05/03/2012 1.14.34 142648]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [11/08/2009 13.03.47 113664]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [31/03/2009 22.11.44 39424]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 MBAMService;MBAMService;"c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe" -->

c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [?]

S2 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [05/04/2012 11.37.38 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04/04/2012 1.28.12 257696]
S3 MBAMProtector;MBAMProtector;\??\c:\windows\system32\drivers\mbam.sys -->

c:\windows\system32\drivers\mbam.sys [?]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [06/06/2012 1.59.32 40776]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RTS5121.sys -->

c:\windows\system32\Drivers\RTS5121.sys [?]

S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys -->

c:\windows\system32\DRIVERS\Rts516xIR.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-06-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 23:00]
.
2012-06-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005Core.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-05-25 17:38]
.
2012-06-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-289857532-3307141164-1466306369-1005UA.job
- c:\documents and settings\Marco Licari\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-05-25 17:38]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe" //mailurl:mailto:armenigiardini@tiscali.it
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.39.0.1 10.39.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-07 17:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(2612)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\idt\wdm\STacSV.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2012-06-07 17:30:52 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-06-07 15:30
ComboFix2.txt 2012-06-06 21:59
.
Pre-Run: 20.167.286.784 byte disponibili
Post-Run: 20.079.640.576 byte disponibili
.
- - End Of File - - B4A50CCEE3A41D56E5B817623AC2EFC1

da **garret92** » gio giu 07, 2012 4:50 pm

Combofix non riusciva a chiudere l'antivirus per iniziare a lavorare perciò, dato che non funzionava ugualmente l'ho disinstallato. La CPU stranamente non scende mai sotto il 50% di utilizzo. La voce services.exe usa 15 di cpu e System (non so se sia normale o no) ne usa 30. Avira non funzionante ne usava prima 15. Forse queste info vi possono servire..

P.S.: Non so se cambia qualcosa ma il mio pc è un netbook.

da GERONIMO* » gio giu 07, 2012 5:46 pm

Scarica TDSSKiller e salvalo sul desktop.
http://support.kaspersky.com/downloads/ ... killer.exe
fai doppio clik su TDSSKiller.exe
fare clic su Start Scan
Immagine

e attendi la scansione

Se trova il file infetto viene rilevato, l'azione predefinita sarà Cure, fare clic su Continua.

Se un file sospetto è rilevato, l'azione predefinita sarà Skip , fare clic su Continua.

Se chiede di riavviare il pc (Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se non chiede di riavviare il pc clicca su report e salvalo sul desktop

Postalo qui.
Il report lo trovi in Disco locale C
TDSSKiller.[Version]_[Date]_[Time]_log.txt

da **garret92** » ven giu 08, 2012 4:03 am

Fatto e non ha trovato nessun file infetto. Altre idee? :(

www.MegaLab.it

Virus attivato dalla ''Pulitura Disco''

Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Re: Virus attivato dalla ''Pulitura Disco''

Chi c’è in linea