Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiutino a ripulire pc

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 10:34 am

Ciao a tutti.

Mi dareste una mano a ripulire questo pc?

I problemi sono : Malwarebytes non si aggiorna, (così l'ho disinstallato, ora provoa reinstallarlo) ; a quanto mi dicono ogni tant il pc si spegne, Internet explorer crasha puntualmente ...

ho provato ad avviare Combofix, ma la prima volta non iniziava con i vari "stage", la seconda volta che l'ho lanciato il pc si è riavviato; adesso l'ho rinominato, provo a lanciarlo di nuovo?

Ho disinstallato Avira momentanemante, proprio per evitare che dasse problemi a Combofix.

Questo è il log di hijackthis :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.15.52, on 02/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\zHotkey.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\demo\Desktop\Armamentario\jdsjsdfjksn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL
O2 - BHO: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SplashDisplayer] C:\WINDOWS\system32\ISTHTB.EXE
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\WINDOWS\TEMP\E_S4D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\demo\IMPOST~1\Temp\Ldx.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O20 - Winlogon Notify: avgrsstarter - Invalid registry found
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Windows Firewall / Condivisione connessione Internet (ICS) (SharedAccess) - Unknown owner - (no file)
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 8582 bytes


[grazie]

P.S. Non so a voi, ma in questo pc a me non mi scarica neanche Kaspersky virus removal tool.. mi dice che il link non è funzionante o qualcosa del genere, ora non ricordo..
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiutino a ripulire pc

Messaggioda crazy.cat » lun ago 02, 2010 10:48 am

C:\Documents and Settings\demo\Desktop\Armamentario\jdsjsdfjksn.exe (E' un tuo rename di qualcosa?)
E' lui o non è lui, certo che è lui...
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\demo\IMPOST~1\Temp\Ldx.exe

Cera su google "malwarebytes manual update" e aggiorna il programma manualmente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 10:57 am

Sisi, è un mio rename.

Grazie mille crazy.

Altri problemi ; ho installato Hitman Pro : ha trovato due trojan,

questo : C:\Documents and Settings\demo\Desktop\a.exe

e questo : C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\WXERW9YJ\1[1].exe

il problema è, che come tutte le applicazioni di sicurezza, se provo ad attivare la licenza gratuita di 30 giorni per rimuoverle, mi dice che non riesce a connettersi a internet.

Inoltre non mi apre varie opzioni del centro di (in)sicurezza Windows.

Ora fixo quella voce di hijackthis
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm


Re: Aiutino a ripulire pc

Messaggioda crazy.cat » lun ago 02, 2010 11:05 am

Unlocker e ammazzi tutti i file che vuoi senza attivare licenze.
Reinstalla malwarebytes e aggiornalo a mano, sembra tutto un rogue quello che ti sei beccato.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 11:13 am

Ooook, grazie mille [;)] . Adesso malwarebytes sta procedendo con lo scan, si accettano scommesse su quante schifezze riuscirà a trovare hihi [std]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 1:20 pm

Ecco fatto :

Malwarebytes ha rilevato e rimosso 7 minacce. Dopodichè, ho eliminato il file a.exe manualmente.

Ho riavviato il pc, e va già meglio, Internet explorer non è ancora crashato, e sono riuscito ad attivare HitmanPro, che ha eliminato l'altro file (il file 1[1].exe che non riuscivo a eliminare da solo) . Anche Malwarebytes ora riesce ad aggiornarsi da solo. E ora riesco a scaricare Kaspersky virus removal tool .

Però non riesco ancora a visualizzare le impostazioni di windows firewall (quindi non potrei attivarlo; questo pc non è mio, è un po' vecchiotto e quindi non saprei se installargli un firewall di terze parti, non vorrei rallentasse troppo, insieme all'antivirus..).

e Combofix non ne vuole sapere di iniziare con i vari stage [boh] .

Ecco il log di malwarebytes

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 4379

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/08/2010 13.40.51
mbam-log-2010-08-02 (13-40-51).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|E:\|)
Elementi esaminati: 303132
Tempo trascorso: 1 ore, 40 minuti, 55 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\QNB2EB90WX (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VO3N0SLJ2I (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiutino a ripulire pc

Messaggioda gio! » lun ago 02, 2010 1:27 pm

Per windows firewall prova a fare così:
start-->esegui-->services.msc-->centro sicurezza PC (ing: windows security center) --> se non è avviato avvialo e impostalo su avvio automaico.

start-->esegui-->services.msc--> windows firewall -->se non è avviato avvialo e impostalo su avvio automaico.

Adesso vedi se compaiono le opzioni.

Inoltre combofix che problema dà? Se ci mette molto a iniziare gli stage ma non compare alcun errore può essere normale, dagli tempo. Hai provato inoltre a rinominarlo prima di salvarlo?
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 2:04 pm

Per i servizi, Il centro di sicurezza era impostato correttamente ; Windows firewall invece non compariva proprio tra i servizi.

Combofix, primache facessi pulizia di tutti quei file, ci metteva tipo 5 minuti per iniziare gli stage, e poi appena iniziato si riavviava il pc.

Dopo la pulizia ho provato ad avviarlo, e vedendo che ci metteva tanto, non ho aspettato ancora perché pensavo si riavviasse il pc come prima e quindi l'ho chiuso [bleh] .

Adesso ho riprovato con Combofix, il pc non si è riavviato e Combofix è riuscito a terminare con successo. [:)]

Ecco il log :

ComboFix 10-08-01.02 - demo 02/08/2010 14.22.39.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1471.1112 [GMT 2:00]
Eseguito da: c:\documents and settings\demo\Desktop\Armamentario\kdflkdfklsmdklas.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Alice\Dati applicazioni\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\demo\Dati applicazioni\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\demo\Dati applicazioni\sa1vbe04k_02_fuz_eng.exe
c:\windows\system32\encapi32.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((( Files Creati Da 2010-07-02 al 2010-08-02 )))))))))))))))))))))))))))))))))))
.

2010-08-02 11:52 . 2010-08-02 11:52 12872 ----a-w- c:\windows\system32\bootdelete.exe
2010-08-02 10:58 . 2010-08-02 10:58 0 ----a-w- c:\windows\nsreg.dat
2010-08-02 10:58 . 2010-08-02 10:58 -------- d-----w- c:\documents and settings\demo\Impostazioni locali\Dati applicazioni\Mozilla
2010-08-02 09:56 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-02 09:56 . 2010-08-02 09:56 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-08-02 09:56 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-02 09:23 . 2010-08-02 11:43 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-08-02 09:23 . 2010-08-02 09:23 133440 ----a-w- c:\windows\system32\LnkProtect.dll
2010-08-02 09:22 . 2010-08-02 11:52 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Hitman Pro
2010-08-02 09:22 . 2010-08-02 09:22 -------- d-----w- c:\programmi\Hitman Pro 3.5
2010-08-02 08:59 . 2010-08-02 09:08 -------- d-----w- c:\programmi\SpywareBlaster
2010-07-15 07:32 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-06 06:29 . 2010-07-06 06:29 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PhotoMail
2010-07-06 06:29 . 2010-07-06 06:29 -------- d-----w- c:\programmi\PhotoMail Maker

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-02 09:35 . 2006-05-25 19:49 -------- d-----w- c:\programmi\eMule
2010-08-02 09:08 . 2008-12-10 20:29 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-08-02 09:04 . 2008-07-30 15:26 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2010-08-02 08:45 . 2009-08-26 14:51 -------- d-----w- c:\programmi\File comuni\PC Tools
2010-07-06 06:22 . 2004-09-06 18:00 64156 ----a-w- c:\windows\system32\perfc010.dat
2010-07-06 06:22 . 2004-09-06 18:00 428288 ----a-w- c:\windows\system32\perfh010.dat
2010-06-22 12:38 . 2010-06-22 12:38 501936 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Google\Google Toolbar\Update\gtbA.tmp.exe
2010-06-14 14:31 . 2005-01-13 23:33 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-04 18:49 . 2010-01-25 22:05 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-05-06 10:32 . 2004-09-06 17:59 916480 ----a-w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2004-01-03 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]
"VTTimer"="VTTimer.exe" [2004-01-15 49152]
"SplashDisplayer"="c:\windows\system32\ISTHTB.EXE" [2005-01-13 643072]
"CHotkey"="zHotkey.exe" [2003-07-29 515584]
"ShowWnd"="ShowWnd.exe" [2003-09-19 36864]
"UpdateManager"="c:\programmi\File comuni\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"VTTrayp"="VTtrayp.exe" [2004-01-30 135168]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2006-09-01 282624]
"Symantec PIF AlertEng"="c:\programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ArcSoft Connection Service"="c:\programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"ISUSPM"="c:\programmi\File comuni\InstallShield\UpdateService\isuspm.exe" [2006-05-16 213936]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-2-4 110592]
NkbMonitor.exe.lnk - c:\programmi\Nikon\PictureProject\NkbMonitor.exe [2005-2-13 118784]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ ?????

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [09/04/2008 22.13.01 38448]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [14/01/2005 1.37.23 77056]
R2 CS_INST_DRV;CS_INST_DRV;c:\windows\system32\drivers\csinstdrv.sys [14/01/2005 1.42.43 4096]
R2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe [13/04/2008 15.53.21 554616]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [03/01/2004 10.30.58 136176]
S2 wspkyldtl;wspkyldtl;\??\c:\windows\system32\drivers\cjjeaz.sys --> c:\windows\system32\drivers\cjjeaz.sys [?]
S3 S3chipid;s3chipid;\??\c:\docume~1\demo\IMPOST~1\Temp\s3chipid.sys --> c:\docume~1\demo\IMPOST~1\Temp\s3chipid.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'

2010-06-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]

2010-08-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2004-01-03 08:30]

2010-08-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2004-01-03 08:30]

2010-08-02 c:\windows\Tasks\User_Feed_Synchronization-{FC604846-9957-4F53-8D8B-693946D9E80D}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.gazzetta.it/
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\demo\Dati applicazioni\Mozilla\Firefox\Profiles\bmo2dmy1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gazzetta.it/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programmi\Google\Update\1.2.183.23\npGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScript
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Notify-avgrsstarter - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-02 14:30
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-3666319413-558513254-3433837934-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3032)
c:\windows\system32\WININET.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\VTTimer.exe
c:\windows\zHotkey.exe
c:\windows\system32\VTtrayp.exe
.
**************************************************************************
.
Ora fine scansione: 2010-08-02 14:37:45 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-08-02 12:37

Pre-Run: 25.385.488.384 byte disponibili
Post-Run: 26.854.514.688 byte disponibili

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 76B1ED2A956AE9C28E1EE1E5A020EE01


Dopo Combofix, Windows Firewall è riapparso tra i servizi e ora l'ho potuto riattivare [;)] .

Grazie mille a tutti.

Ancora 2 problemi, tra cui uno non proprio connesso con il virus :

1) All'avvio del pc, a meno che non cambi qualcosa adesso che ho dato Combofix, windows mi dà sempre il messaggio che l'applicazione ArcSoft Connect Daemon verrà chiusa .. che cos'è,e perché fa così?Che applicazione è? (penso faccia così da quando si è preso il virus)

2) Da un bel po' mi dicono, (questo non c'entra niente con il virus) Quando accendono il pc, devono schiacciare F1 per farlo andare (Avete presente il messsaggio "Warning, CPU settings changed" o qualcosa del genere, che dà quando si cambiano , per esempio, le pile del BIOS o alcune impostazioni del BIOS? E per continuare ad avviare il pc bisogna premere F1? Proprio quello.. come si faceva già a togliere? premettendo che non mi piace pasticciare nel BIOS, anzi, preferirei proprio non doverci avere a che fare.. xD. Quindi al massimo lo lascio così com'è, tanto alla fine bisogna solo premere un tasto efunziona tutto normale [bleh] )

P.S. Ora gli reinstallo Antivir, anche se dopo questa (e tutta una serie di altre volte) inizia proprio a deludermi..
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiutino a ripulire pc

Messaggioda gio! » lun ago 02, 2010 2:49 pm

Allora, qualcosa sembra esserci ancora.
Fai controllare questi files su www.virustota.com e posta i links con i risultati:
c:\windows\system32\LnkProtect.dll
c:\windows\system32\drivers\cjjeaz.sys

Anche questo non sembra nulla di buono ma lo eliminiamo dopo aver cpntrollato gli alri due tanto si rova nella cartella temp:
c:\docume~1\demo\IMPOST~1\Temp\s3chipid.sys
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 2:58 pm

Il file lnkprotect.dll l'ho controllato, e risulta pulito, nessun antivirus lo rileva. Se non sbaglio lo ha messo Hitman pro per proteggermi da una vulnerabilità da exploit (Lnk vulnerability) che non ho ben capito cosa sia.

Il driver sospetto invece, non l'ho trovato, neanche abilitando la visualizzzione di file sospetti o protetti da sistema; quindi presumo lo abbiano cancellato i vari tool.

E adesso si sta mettendo a fare temporale.. quindi mi tocca spegnere il pc [cry] . Peccato, non aveva ancora finito la scansione Antivir e forse c'era ancora qualcosa dasistemare.. sperando che sto temporale smetta presto, hai qualcosa da consigliarmi? Gli altri due problemi non sapresti come risolverli?

Grazie mille a tutti per l'aiuto.
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: Aiutino a ripulire pc

Messaggioda gio! » lun ago 02, 2010 3:06 pm

Allora, Arcsoft sembra un software per fotocamere, semmai prova a disinstallrlo da installazioni applicazioni o disabilitarne il relativo servizio.

Per il secondo problema.. non sono bravo con il BIOS [uhm]

Comunque vediamo se quel file c'è:
Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php e salvalo sul desktop. Avvialo e nella casella bianca copia/incolla:

Files to delete:
c:\windows\system32\drivers\cjjeaz.sys
c:\docume~1\demo\IMPOST~1\Temp\s3chipid.sys

Folders to delete:
c:\docume~1\demo\IMPOST~1\Temp
C:\Windows\Temp
C:\Windows\Tasks


Alla fine posta il report di the avenger [^]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Re: Aiutino a ripulire pc

Messaggioda Pct » lun ago 02, 2010 5:18 pm

Allora ; hanno dovuto riportarmi a casa ora, perché sta sera devono uscire.

Proverò con The Avenger la prossima volta. Grazie davvero per tutto l'aiuto [^] .
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising