Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto riconoscimento virus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto riconoscimento virus

Messaggioda Longman » sab feb 02, 2008 1:25 pm

Buongiorno a tutti,
da un po' di giorni sto' impazzendo con il mio pc e sospetto la presenza di un virus. Ecco i sintomi: improvvisamente, ogni tanto si disattivano tutte le porte USB e il processo system sale al 99%. In ogni momento, se provo a lanciare Avenger o Process explorer questi vengono killati. Se provo ad eseguire una qualsiasi ricerca su internet per process explorer o provo ad andare nel sito di download si chiude il browser (sia Explorer 7 che Firefox). Ho eseguito la scansione con AVG e AVG antirootkit, Kaspersky on-line ma non hanno rilevato nulla.
Di seguito riporto il log di Hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.26.45, on 02/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\AVG\avgamsvr.exe
E:\AVG\avgupsvc.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\Programmi\Microsoft Analysis Services\Bin\msmdsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Microsoft SQL Server\90\Shared\sqlbrowser.exe
E:\Tomcat_5.5\bin\tomcat5.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\ORL\VNC\WinVNC.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
E:\AVG\avgcc.exe
E:\Tomcat_5.5\bin\tomcat5w.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
E:\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programmi\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\System32\alg.exe
D:\HiJackThis_v2\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\AVG\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ApacheTomcatMonitor] "E:\Tomcat_5.5\bin\tomcat5w.exe" //MS//Tomcat5
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] E:\AVG\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-731162237-475020083-420534514-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] E:\AVG\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] E:\AVG\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://portale.tils.com
O15 - Trusted IP range: http://172.20.10.11
O15 - Trusted IP range: http://85.43.252.41
O15 - Trusted IP range: http://127.0.0.1
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrsupport.com/ssl/inquiero ... 118_24.cab
O16 - DPF: {F11BFF96-CC7A-4482-819B-91EAE4C454EF} (NTR ActiveX 1.1.6) - https://www.inquiero.com/ssl/inquiero/m ... 116_14.cab
O16 - DPF: {FA91DF8D-53AB-455D-AB20-F2F023E498D3} (RSClientPrint Class) - http://172.20.10.11/ReportServer/Reserv ... bpjsipy45&
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\AVG\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\AVG\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - E:\Tomcat_5.5\bin\tomcat5.exe
O23 - Service: VNC Server (winvnc) - AT&T Research Labs Cambridge - C:\Programmi\ORL\VNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://portale/cpz

--
End of file - 7572 bytes

Potete aiutarmi?
Grazie a tutti.
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » sab feb 02, 2008 1:30 pm

Il log è pulito.

GMER lo riesci ad aprire? In caso positivo segui i passaggi seguenti:

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » sab feb 02, 2008 1:51 pm

Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm


Messaggioda ste_95 » sab feb 02, 2008 2:32 pm

Eppure sembra tutto pulito.

Questo avenger ti funziona?

http://www.mediafire.com/?1xje5uurp1t
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » sab feb 02, 2008 4:22 pm

macchè.... eppure credevo che i fantasmi non esistessero [cry]

comunque ho notato che se nel registro di sistema cambio la shell di avvio togliendo explorer.exe i "fenomeni" non si manifestano (finchè non lo riavvio). Credo quindi che sia annidato lì...
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » sab feb 02, 2008 4:24 pm

Cioè? Spiegati meglio.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » sab feb 02, 2008 4:29 pm

Dunque... ho pensato di aprire il regedit, andare su \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon e alla voce Shell ho tolto explorer.exe e ho sostituito megalab_the_avenger.exe
Ho riavviato il PC e stavolta Avenger si è aperto.
A questo punto l'ho chiuso e richiamando il task manager ho aperto internet explore e ho provato a rieseguire la ricerca su google "kill process explorer" (una delle frasi che provocavano la chiusura del browser) e stavolta sono arrivati i risultati.
Dopodichè ho avviato explorer.exe sempre dal task manager e sono tornati i problemi: avenger viene killato subito dopo l'avvio e lo stesso avviene per i browser non appena faccio la ricerca di prima....
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » sab feb 02, 2008 4:30 pm

Fai scansionare il file explorer.exe su www.virustotal.com
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » sab feb 02, 2008 4:55 pm

Nulla... explorer.exe è pulito. Ho fatto anche un'altra prova: ho ripreso un explorer.exe da un backup di alcuni mesi fa e l'ho sostituito all'esistente: non è cambiato nulla.
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » sab feb 02, 2008 4:58 pm

Fai una ricerca nel computer del file explorer.exe e vedi se ne trova altri.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » dom feb 03, 2008 10:56 am

Purtroppo non ci sono altri explorer... o meglio, esistono delle copie di backup nelle cartelle degli uninstall degli aggiornamenti automatici. Li ho comunque tolti tutti e ho verificato che quello dentro windows fosse lockato da un processo (ossia fosse quello in esecuzione). Purtroppo non è cambiato nulla. Credo che il male sia annidato da qualche altra parte anche se probabilmente agisce interagendo con explorer.
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » dom feb 03, 2008 11:10 am

Entra nel registro e cerca la chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Elenca le sottochiavi e i valori che trovi.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » dom feb 03, 2008 11:33 am

Una mi sembra sospetta:

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 09/05/2007 - 12.12
Valore 0
Nome Debugger
Tipo REG_SZ
Dati "c:\windows\system32\spucvols.old"

Ecco la lista completa:

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apitrap.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ASSTE.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSTE.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Cleanup.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cqw32.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divx.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divxdec.ax
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DJSMAR00.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRMINST.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enc98.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EncodeDivXExt.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EncryptPatchVer.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 09/05/2007 - 12.12
Valore 0
Nome Debugger
Tipo REG_SZ
Dati "c:\windows\system32\spucvols.old"


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\front.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati
Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fullsoft.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GBROWSER.DLL
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\htmlmarq.ocx
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\htmlmm.ocx
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ishscan.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ISSTE.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\javai.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jvm.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jvm_g.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\main123w.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mngreg32.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msci_uno.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscoree.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvr.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorwks.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msjava.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mso.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVOPTRF.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeVideoFX.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPMLIC.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NSWSTE.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photohse.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome GlobalFlag
Tipo REG_SZ
Dati 0x00200000


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PMSTE.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ppw32hlp.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\printhse.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome GlobalFlag
Tipo REG_SZ
Dati 0x00200000


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\prwin8.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ps80.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psdmt.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qfinder.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qpw.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\salwrap.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup32.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sevinst.exe
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati
Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcnet.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tcore_ebook.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TFDTCTT8.DLL
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ua80.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\udtapi.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ums.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vb40032.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vbe6.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wpwin8.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome DisableHeapLookAside
Tipo REG_SZ
Dati 1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xlmlEN.dll
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome CheckAppHelp
Tipo REG_DWORD
Dati 0x1


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xwsetup.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 16.36
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome Debugger
Tipo REG_SZ
Dati ntsd -d

Valore 1
Nome GlobalFlag
Tipo REG_SZ
Dati 0x000010F0


Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_INSTPGM.EXE
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 30/08/2004 - 18.29
Valore 0
Nome ApplicationGoo
Tipo REG_BINARY
Dati
[rotolo]
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » dom feb 03, 2008 11:36 am

Dovremmo aver trovato il problema. Per sicurezza però scarica SystemScan ed esegui una scansione con esso.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » dom feb 03, 2008 5:10 pm

Era proprio lui, l'infame. Un sincero grazie a tutti.
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » dom feb 03, 2008 5:15 pm

Ancora una cosa:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
c:\windows\system32\spucvols.old


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Longman » dom feb 03, 2008 5:52 pm

Fatto. Ho anche aggiunto:
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

poichè con il solo file cancellato ma con la chiave ancora nel registro explorer va in errore e non riesce a riavviarsi.
Ora è tornato tutto a posto.
Grazie ancora.
Avatar utente
Longman
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab feb 02, 2008 12:37 pm

Messaggioda ste_95 » dom feb 03, 2008 5:53 pm

Sei un autodidatta, bravo! [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising