Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

voci rosse in GMER

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

voci rosse in GMER

Messaggioda skorpione » mer dic 15, 2010 1:14 pm

Salve,ho effettuato una scansione completa del mio sistema con GMER.Il risultato della scansione mi mostra tutto in rosso nella sezione REGISTRY, in LOCAL_MACHINE, nella cartella SAM e nelle sottocartelle DOMAINS e RXACT,cosi' come nella cartella SECURITY e nelle sottocartelle CACHE POLICY e RXACT.La cosa strana e' che ho eseguito REGEDIT,aperto LOCAL_MACHINE e sono andato a controllare le cartelle SAM e SECURITY e non ho trovato nessuna delle svariate sottocartelle che comparivano su GMER.Gentilmente, potete aiutarmi a capire se il mio computer e' infetto e come posso fare per ripulire il sistema?Grazie a tutti di cuore in anticipo.

qui c'e' il log di GMER http://wikisend.com/download/407654/gmer.log
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda FDAC » mer dic 15, 2010 2:10 pm

Ciao. I Rootkit sono nascosti, e dunque, il più delle volte, non sono visibili al sistema, talvolta nemmeno al registro.
Oltre alla scansione con Gmer, eseguine una con Combofix.
Scarica Combofix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Nota:
● il programma devi scaricarlo preferibilmente con Internet Explorer

Posiziona Combofix sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:
disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)
disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando Combofix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il log dal nome combofix.txt ed allegalo, col TAG MEMO
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda hashcat » mer dic 15, 2010 2:29 pm

FDAC ha scritto:● il programma devi scaricarlo preferibilmente con Internet Explorer

Solo una domanda, perché preferibilmente da Internet Explorer?
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm


Re: voci rosse in GMER

Messaggioda FDAC » mer dic 15, 2010 3:03 pm

Ciao.
perché è preferibile, è riportato di scaricarlo con IE.
Se poi, usi FF, poco cambia.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda The Doctor » mer dic 15, 2010 3:14 pm

FDAC ha scritto:Ciao.
perché è preferibile, è riportato di scaricarlo con IE.
Se poi, usi FF, poco cambia.


Secondo me non c'è assolutamente alcun motivo per cui si debba utilizzare un browser anziché un altro per scaricare un semplice file. Evitiamo di dare consigli di tale tipo a meno di avere motivazioni plausibili e dimostrabili.

Esempio: per scaricare un file di grosse dimensioni è preferibile utilizzare un download manager poiché supporta il resume del download

Spero di essermi spiegato chiaramente.

[grazie]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

Re: voci rosse in GMER

Messaggioda FDAC » mer dic 15, 2010 3:27 pm

http://www.bleepingcomputer.com/combofi ... e-combofix
La guida di Combofix, ha per esempio IE. Io mi attengo a quella, è ufficiale.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda The Doctor » mer dic 15, 2010 3:51 pm

FDAC ha scritto:http://www.bleepingcomputer.com/combofix/it/come-usare-combofix
La guida di Combofix, ha per esempio IE. Io mi attengo a quella, è ufficiale.


Allora dovresti leggerla più attentamente perché non c'è scritto da nessuna parte che è preferibile usare Internet Explorer, bensì:

Utilizzo di ComboFix

Se avete bisogno di aiuto per la rimozione di un infezione, aprite un topic in uno dei forums citati nella guida.
Si prega di notare che ogni forum ha diverse politiche, quindi assicuratevi di leggere qualunque discussione in rilievo ed i regolamenti relativi al forum in cui si scrive per sapere come ci si dovrebbe comportare e come chiedere aiuto.
Se vi viene richiesto il log di ComboFix createlo seguendo le istruzioni sottoriportate.

La prima cosa da fare prima di iniziare ad usare ComboFix è stampare questa guida, in quanto dovrete chiudere tutte le finestre ed i programmi aperti compreso il browser Web.

Poi dovrete scaricare ComboFix clickando con il tasto sinistro del mouse su uno dei seguenti links:

BleepingComputer.com
ForoSpyware.com
Comparirà un avviso come quello della figura sottostante ( esempio relativo a Internet Explorer )


ovvero solamente che gli screenshot della guida sono stati fatti utilizzando IE come esempio. Quindi non puoi dire:

il programma devi scaricarlo preferibilmente con Internet Explorer


perché è tendenzialmente un consiglio sbagliato e fuorviante.

Spero di non dovermi ripetere.
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

Re: voci rosse in GMER

Messaggioda hashcat » mer dic 15, 2010 4:05 pm

The Doctor ha scritto:
FDAC ha scritto:http://www.bleepingcomputer.com/combofix/it/come-usare-combofix
La guida di Combofix, ha per esempio IE. Io mi attengo a quella, è ufficiale.


Allora dovresti leggerla più attentamente perché non c'è scritto da nessuna parte che è preferibile usare Internet Explorer, bensì:

Utilizzo di ComboFix

Se avete bisogno di aiuto per la rimozione di un infezione, aprite un topic in uno dei forums citati nella guida.
Si prega di notare che ogni forum ha diverse politiche, quindi assicuratevi di leggere qualunque discussione in rilievo ed i regolamenti relativi al forum in cui si scrive per sapere come ci si dovrebbe comportare e come chiedere aiuto.
Se vi viene richiesto il log di ComboFix createlo seguendo le istruzioni sottoriportate.

La prima cosa da fare prima di iniziare ad usare ComboFix è stampare questa guida, in quanto dovrete chiudere tutte le finestre ed i programmi aperti compreso il browser Web.

Poi dovrete scaricare ComboFix clickando con il tasto sinistro del mouse su uno dei seguenti links:

BleepingComputer.com
ForoSpyware.com
Comparirà un avviso come quello della figura sottostante ( esempio relativo a Internet Explorer )


ovvero solamente che gli screenshot della guida sono stati fatti utilizzando IE come esempio. Quindi non puoi dire:

il programma devi scaricarlo preferibilmente con Internet Explorer


perché è tendenzialmente un consiglio sbagliato e fuorviante.

Spero di non dovermi ripetere.

Inoltre Internet Explorer è il browser più soggetto a modifiche di hijack, quindi in caso di un infezione bella pesante, l'utilizzo di Internet Explorer potrebbe rendere impossibile la visualizzazione di alcune pagine relative alla sicurezza, o il download di particolari file.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: voci rosse in GMER

Messaggioda Uomo_Senza_Sonno » mer dic 15, 2010 4:38 pm

skorpione ha scritto:Gentilmente, potete aiutarmi a capire se il mio computer e' infetto e come posso fare per ripulire il sistema?

Nei post precedenti è stato consigliato di utilizzare combofix, sicuramente rimuoverà gran parte dell'infezione tramite la sua scansione. Tuttavia, è probabile la presenza di rootkit nell'mbr, e quindi aggiungo ai consigli già esposti il mio.

Esegui un controllo con mbr.exe, lo salvi in C:\, poi riavvia in modalità provvisoria digita in esegui il comando C:\mbr.exe -t; verrà generato un log in C:\ chiamato mbr.log, che dovrai postare utilizzando il tag memo.

Se ci sono infezioni, vedremo come rimuoverle definitivamente. [weponed]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: voci rosse in GMER

Messaggioda skorpione » mer dic 15, 2010 6:22 pm

Salve, vi ringrazio molto per il vostro interessamento. Ho fatto esattamente come mi avete detto e vi posto i log di Combofix e di MBR. Spero che se vengono riscontraComboFix 10-12-14.07 - Mario Scalia 15/12/2010 17.40.52.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2046.1508 [GMT 1:00]
Eseguito da: c:\documents and settings\Mario Scalia\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *Disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\autorun.ini

.
((((((((((((((((((((((((( Files Creati Da 2010-11-15 al 2010-12-15 )))))))))))))))))))))))))))))))))))
.

2010-12-15 09:57 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 09:56 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-13 11:47 . 2010-12-13 12:03 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-12-13 11:42 . 2010-12-13 11:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Hitman Pro
2010-12-13 11:24 . 2010-12-13 11:24 -------- d-----w- c:\windows\Sun
2010-12-12 10:59 . 2010-12-12 11:00 -------- dc-h--w- c:\windows\ie8
2010-12-08 10:09 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-08 10:09 . 2010-12-08 10:09 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-12-08 10:09 . 2010-12-09 16:22 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-12-08 10:09 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-07 15:59 . 2008-03-02 02:28 206608 ----a-w- c:\windows\system32\drivers\TMPassthru.sys
2010-12-07 15:59 . 2010-12-07 15:59 -------- d-----w- c:\programmi\Trend Micro
2010-12-03 15:42 . 2010-12-03 15:43 -------- d-----w- c:\windows\system32\autorun
2010-11-28 16:37 . 2010-12-02 09:41 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-11-28 16:30 . 2007-05-13 11:24 86683 ----a-w- c:\windows\system32\pthreadGC2.dll
2010-11-28 16:30 . 2010-11-28 16:30 -------- d-----w- c:\programmi\AoA Audio Extractor
2010-11-28 16:29 . 2010-11-28 16:29 -------- d-----w- c:\programmi\MP3Gain
2010-11-27 15:48 . 2010-11-27 15:48 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\eConsole
2010-11-26 22:14 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-11-26 12:28 . 2010-11-26 12:28 -------- d-----w- c:\programmi\Ashampoo
2010-11-26 12:21 . 2010-11-26 12:21 -------- d-----w- c:\programmi\Paint.NET
2010-11-26 12:19 . 2010-11-26 12:19 -------- d-----w- c:\programmi\FotoSketcher
2010-11-26 12:16 . 2010-11-26 12:16 -------- d-----w- c:\programmi\FreeTime
2010-11-26 12:14 . 2010-11-26 12:14 -------- d-----w- c:\programmi\Ambient Design
2010-11-25 22:50 . 2010-04-28 05:41 2070528 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-11-25 22:50 . 2010-04-28 05:41 2028032 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-11-25 22:50 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-11-25 17:56 . 2010-11-25 17:56 -------- d-----w- c:\programmi\File comuni\DivX Shared
2010-11-25 17:55 . 2010-11-25 17:57 -------- d-----w- c:\programmi\DivX
2010-11-25 17:54 . 2010-11-25 17:57 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\DivX
2010-11-25 17:51 . 2010-11-25 17:51 -------- d-----w- c:\programmi\VideoLAN
2010-11-25 17:50 . 2010-11-25 17:50 -------- d-----w- c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\Google
2010-11-25 17:45 . 2010-11-25 17:45 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Google
2010-11-25 17:45 . 2010-12-14 12:03 -------- d-----w- c:\programmi\Google
2010-11-25 17:16 . 2010-12-14 13:15 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-11-25 17:16 . 2010-11-28 12:33 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2010-11-25 17:11 . 2010-11-25 17:11 -------- d-----w- c:\programmi\7-Zip
2010-11-25 16:29 . 2010-02-10 20:20 593920 ------w- c:\windows\system32\ati2sgag.exe
2010-11-25 15:30 . 2010-11-25 16:39 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-11-25 15:30 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Microsoft
2010-11-25 15:30 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Windows Live SkyDrive
2010-11-25 15:29 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Windows Live
2010-11-25 15:25 . 2010-11-25 15:25 -------- d-----w- c:\programmi\File comuni\Windows Live
2010-11-25 15:18 . 2010-11-25 15:18 -------- d-----w- c:\programmi\File comuni\Adobe
2010-11-25 14:29 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-11-25 12:38 . 2010-11-25 12:38 0 ----a-w- c:\windows\ativpsrm.bin
2010-11-25 12:13 . 2010-11-26 11:08 -------- d-----w- c:\programmi\ATI Technologies
2010-11-25 12:12 . 2010-02-10 20:20 212992 ----a-w- c:\programmi\File comuni\InstallShield\Engine\6\Intel 32\ILog.dll
2010-11-25 12:12 . 2010-11-25 12:12 -------- d-----w- C:\ATI
2010-11-25 11:57 . 2010-11-25 11:57 -------- d-----w- c:\programmi\SIW
2010-11-25 11:44 . 2010-11-25 12:45 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NVIDIA Corporation
2010-11-25 11:44 . 2010-11-25 12:47 -------- d-----w- c:\programmi\NVIDIA Corporation
2010-11-25 11:29 . 2010-11-26 12:45 -------- d-----w- c:\programmi\CCleaner
2010-11-25 11:13 . 2010-11-25 11:13 -------- d-----w- c:\programmi\File comuni\Java
2010-11-25 11:12 . 2010-11-25 11:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-25 11:12 . 2010-11-25 11:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-25 11:12 . 2010-11-25 11:12 -------- d-----w- c:\programmi\Java
2010-11-25 11:04 . 2010-11-25 16:37 -------- d-----w- c:\programmi\Microsoft Works
2010-11-25 11:02 . 2008-04-14 02:13 26624 ----a-w- c:\documents and settings\LocalService\Dati applicazioni\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-11-25 10:41 . 2010-10-18 11:10 7680 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-11-25 10:40 . 2010-11-06 00:21 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-11-25 10:40 . 2010-11-06 00:21 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-11-25 10:40 . 2010-11-06 00:21 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-11-25 10:40 . 2010-11-06 00:21 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-11-25 10:40 . 2010-11-06 00:21 1991680 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-11-25 10:40 . 2010-11-06 00:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-11-25 10:40 . 2010-11-06 00:21 11080704 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-11-25 10:32 . 2010-11-25 14:29 -------- d-----w- c:\windows\system32\XPSViewer
2010-11-25 10:32 . 2010-11-25 10:32 -------- d-----w- c:\programmi\MSBuild
2010-11-25 10:32 . 2010-11-25 10:32 -------- d-----w- c:\programmi\Reference Assemblies
2010-11-25 10:31 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-11-25 10:31 . 2010-11-25 10:31 -------- d-----w- C:\4d7de5352e7bd3f96994a1c9c20a
2010-11-25 10:31 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-11-25 10:31 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-11-25 10:31 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-11-25 10:31 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-11-25 10:31 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-11-25 10:31 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-11-25 10:31 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-11-25 10:31 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-11-25 10:27 . 2010-11-25 10:27 -------- d-----w- c:\programmi\Windows Media Connect 2
2010-11-25 10:25 . 2010-11-25 10:26 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-11-25 10:25 . 2010-11-25 10:25 -------- d-----w- c:\windows\system32\LogFiles
2010-11-25 10:24 . 2010-08-16 08:44 590848 -c----w- c:\windows\system32\dllcache\rpcrt4.dll
2010-11-25 10:24 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-25 10:24 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-11-25 10:23 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-11-25 10:22 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-11-25 10:22 . 2010-08-26 13:39 357248 -c----w- c:\windows\system32\dllcache\srv.sys
2010-11-25 09:54 . 2010-11-25 09:57 -------- d-----w- c:\programmi\Abbyy FineReader 6.0 Sprint
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\programmi\Lexmark_6200 Series
2010-11-25 09:53 . 2004-11-22 12:30 12288 ----a-w- c:\windows\system32\LXPMONRC.DLL
2010-11-25 09:53 . 2004-11-22 12:27 32768 ----a-w- c:\windows\system32\LXPRMON.DLL
2010-11-25 09:53 . 2004-11-22 12:26 20480 ----a-w- c:\windows\system32\LXPMONUI.DLL
2010-11-25 09:53 . 2003-03-11 17:26 49152 ----a-r- c:\windows\system32\IM31IMG.DIL
2010-11-25 09:53 . 2003-03-11 17:26 98345 ----a-r- c:\windows\system32\IMHOST32.DLL
2010-11-25 09:53 . 2003-03-11 17:26 98304 ----a-r- c:\windows\system32\IM31XPNG.DEL
2010-11-25 09:53 . 2003-03-11 17:26 69632 ----a-r- c:\windows\system32\IM31XTIF.DEL
2010-11-25 09:53 . 2003-03-11 17:26 339968 ----a-r- c:\windows\system32\IMGMAN32.DLL
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\programmi\Lexmark Fax Solutions
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\FaxCtr
2010-11-25 09:42 . 2010-12-15 16:28 -------- d-----w- c:\programmi\Lx_cats
2010-11-25 09:40 . 2005-01-14 06:03 172032 ------w- c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuinsb.dll
2010-11-25 09:40 . 2005-01-14 06:03 131072 ------w- c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuins.dll
2010-11-25 09:40 . 2004-11-01 19:20 204800 ------w- c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuinst.exe
2010-11-25 09:40 . 2003-07-07 20:23 983107 ------w- c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbugf.dll
2010-11-25 09:40 . 2004-11-09 19:27 65536 ------w- c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbucfg.dll
2010-11-25 09:40 . 2010-11-25 09:40 -------- d-----w- C:\Temp
2010-11-25 09:39 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-11-25 09:39 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-11-25 09:35 . 2010-11-25 09:35 -------- d-----w- c:\programmi\Philips
2010-11-25 09:35 . 2005-02-26 15:25 91527 ----a-w- c:\windows\system32\drivers\usbVM31b.sys
2010-11-25 09:35 . 2004-12-18 08:58 245820 ----a-w- c:\windows\system32\VM31bPrp.Ax
2010-11-25 09:35 . 2004-06-09 14:37 40960 ----a-w- c:\windows\VM_STI.EXE
2010-11-25 09:35 . 2004-04-26 14:48 53248 ----a-w- c:\windows\amcap.exe
2010-11-25 09:35 . 2003-05-15 16:17 61440 ----a-w- c:\windows\system32\VM31bSTI.dll
2010-11-25 09:35 . 2002-08-22 15:34 147456 ----a-w- c:\windows\VMCap.exe
2010-11-25 09:35 . 2010-11-25 09:35 -------- d-----w- c:\windows\Options
2010-11-25 09:01 . 2010-12-12 11:03 -------- d-----w- c:\windows\system32\it-it
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\system32\it
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\system32\bits
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\l2schemas
2010-11-25 08:54 . 2010-11-25 08:54 -------- d-----w- c:\windows\EHome
2010-11-25 08:35 . 2010-11-25 08:59 -------- d-----w- c:\windows\ServicePackFiles
2010-11-25 08:33 . 2010-11-29 14:27 60416 ----a-w- c:\windows\ALCFDRTM.VER

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-25 00:46 . 2005-06-22 00:19 588 ----a-w- c:\windows\CLEANUP.CMD
2010-11-18 18:12 . 2004-08-19 05:00 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2006-01-09 17:59 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-19 05:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-19 05:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2004-08-19 05:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-19 05:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:13 . 2004-08-19 05:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2005-10-06 03:08 1853312 ----a-w- c:\windows\system32\win32k.sys
2010-09-18 11:23 . 2004-08-19 05:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-19 05:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-19 05:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-19 05:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"LXBUCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2004-11-02 69632]
"TMRUBottedTray"="c:\programmi\Trend Micro\RUBotted\TMRUBottedTray.exe" [2008-11-06 288088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acer Empowering Technology.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acer WLAN 11g USB Dongle.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acer WLAN 11g USB Dongle.lnk
backup=c:\windows\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^TrayMin300.exe.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\TrayMin300.exe.lnk
backup=c:\windows\pss\TrayMin300.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
2006-06-09 11:24 110592 ----a-w- c:\programmi\Acer\Acer eMode Management\AspireService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 14:37 40960 ----a-w- c:\windows\VM_STI.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04 1164584 ----a-w- c:\programmi\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
2006-06-01 13:40 413696 ----a-w- c:\acer\Empowering Technology\eRecovery\eRAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
2004-09-17 17:24 61440 ----a-w- c:\programmi\Lexmark 6200 Series\ezprint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
2004-11-22 12:29 299008 ----a-w- c:\programmi\Lexmark Fax Solutions\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxbumon.exe]
2005-01-18 14:37 196608 ----a-w- c:\programmi\Lexmark 6200 Series\lxbumon.exE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
2006-05-04 13:55 425984 ----a-w- c:\programmi\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
2005-05-11 16:15 45056 ----a-w- c:\programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-03-29 20:50 143360 ------w- c:\program files\Acer TV-FM\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24 32768 ----a-w- c:\programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer TV-FM\\PowerCinema.exe"=
"c:\\Program Files\\Acer TV-FM\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1108000.005\symds.sys [24/11/2010 19.55.52 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1108000.005\symefa.sys [24/11/2010 19.55.52 173104]
R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.5.0.127\Definitions\BASHDefs\20101123.003\BHDrvx86.sys [23/11/2010 3.20.07 691248]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1108000.005\cchpx86.sys [24/11/2010 19.55.52 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1108000.005\ironx86.sys [24/11/2010 19.55.52 116784]
R2 NIS;Norton Internet Security;c:\programmi\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe [24/11/2010 19.55.38 126392]
R2 RUBotted;Trend Micro RUBotted Service;c:\programmi\Trend Micro\RUBotted\TMRUBotted.exe [07/12/2010 16.59.32 582992]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05/12/2010 17.06.44 102448]
R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.5.0.127\Definitions\IPSDefs\20101213.001\IDSXpx86.sys [15/12/2010 10.56.50 341944]
R3 TMPassthruMP;TMPassthruMP;c:\windows\system32\drivers\TMPassthru.sys [07/12/2010 16.59.32 206608]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [25/11/2010 18.45.44 136176]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 TMPassthru;Trend Micro Passthru Ndis Service;c:\windows\system32\drivers\TMPassthru.sys [07/12/2010 16.59.32 206608]
.
Contenuto della cartella 'Scheduled Tasks'

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-25 17:45]

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-25 17:45]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

MSConfigStartUp-ImageItEncrypt - c:\windows\system32\ImageItEncrypt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 17:44
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBUCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NIS]
"ImagePath"="\"c:\programmi\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programmi\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-12-15 17:46:44
ComboFix-quarantined-files.txt 2010-12-15 16:46

Pre-Run: 136.172.515.328 byte disponibili
Post-Run: 136.242.728.960 byte disponibili

- - End Of File - - 85E99720B1160BBD0F8B4AC917F87F44Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD3200JS-00PDB0 rev.21.00M21 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-9

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

te infezioni possano essere risolte!
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda The Doctor » mer dic 15, 2010 6:48 pm

Uso corretto del tag MEMO:

Codice: Seleziona tutto
[memo]incolla il log qui[/memo]


[;)]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

Re: voci rosse in GMER

Messaggioda skorpione » mer dic 15, 2010 6:58 pm

[quote="The Doctor"]Uso corretto del tag MEMO:

Codice: Seleziona tutto
[memo]incolla il log qui[/memo]


[;)][/qchiedo scusa, ho avuto qualche problemauote]
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda FDAC » mer dic 15, 2010 8:32 pm

Ciao.
L'MBR pare a posto.
Start - Esegui e digita:
notepad.exe
● clicca su Ok
● copia ed incolla le righe qui sotto, senza saltarne nessuna:

Folder::
c:\windows\Tasks
c:\temp

File::
c:\windows\CLEANUP.CMD

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]


● le incolli all'interno dell'editor di testo Notepad
● clicca in alto su File
● nel menù che vedi scegli Salva con nome
● controlla che in alto, dove c'è scritto Salva in, sia selezionato Desktop
● in Nome file se trovi selezionato .txt lo cancelli, e scrivi CFScript.txt
● clicca Salva
● adesso, sul Desktop, trovi il file di testo
● con il tasto sinistro del mouse, lo trascini sopra l'icona di Combofix, lo rilasci, e parte la scansione di Combofix
non toccare più ne' mouse ne' tastiera, finché non è finita
● se il sistema non si riavvia da solo, riavvialo tu
● a questo punta allega il log di Combofix col tag MEMO

Disinstalla, poichè inutile:
Spybot - Search & Destroy
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda skorpione » gio dic 16, 2010 11:45 am

Ciao FDAC, ti ringrazio per la disponibilita'. Volevo chiederti se posso eliminare la cartella nominata "Qoobox" che Combofix ha creato. Prima della scansione ho disattivato antivirus e firewall di Norton. Ti posto il log della scansione ringraziandoti ancora per quello che fai.


ComboFix 10-12-15.06 - Mario Scalia 16/12/2010 11.12.46.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2046.1449 [GMT 1:00]
Eseguito da: c:\documents and settings\Mario Scalia\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Mario Scalia\Desktop\CFScript.txt
AV: Norton Internet Security *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *Disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
"c:\windows\CLEANUP.CMD"
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbucfg.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbugf.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuins.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuinsb.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuinsr.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuinst.exe
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbujswr.dll
c:\temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}\lxbu\lxbuutil.dll
c:\windows\CLEANUP.CMD

.
((((((((((((((((((((((((( Files Creati Da 2010-11-16 al 2010-12-16 )))))))))))))))))))))))))))))))))))
.

2010-12-15 16:19 . 2010-12-15 16:19 89088 ----a-w- C:\mbr.exe
2010-12-15 09:57 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 09:56 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-13 11:47 . 2010-12-13 12:03 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-12-13 11:42 . 2010-12-13 11:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Hitman Pro
2010-12-13 11:24 . 2010-12-13 11:24 -------- d-----w- c:\windows\Sun
2010-12-12 10:59 . 2010-12-12 11:00 -------- dc-h--w- c:\windows\ie8
2010-12-08 10:09 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-08 10:09 . 2010-12-08 10:09 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-12-08 10:09 . 2010-12-09 16:22 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-12-08 10:09 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-07 15:59 . 2008-03-02 02:28 206608 ----a-w- c:\windows\system32\drivers\TMPassthru.sys
2010-12-07 15:59 . 2010-12-07 15:59 -------- d-----w- c:\programmi\Trend Micro
2010-12-03 15:42 . 2010-12-03 15:43 -------- d-----w- c:\windows\system32\autorun
2010-11-28 16:37 . 2010-12-02 09:41 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-11-28 16:30 . 2007-05-13 11:24 86683 ----a-w- c:\windows\system32\pthreadGC2.dll
2010-11-28 16:30 . 2010-11-28 16:30 -------- d-----w- c:\programmi\AoA Audio Extractor
2010-11-28 16:29 . 2010-11-28 16:29 -------- d-----w- c:\programmi\MP3Gain
2010-11-27 15:48 . 2010-11-27 15:48 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\eConsole
2010-11-26 22:14 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-11-26 12:28 . 2010-11-26 12:28 -------- d-----w- c:\programmi\Ashampoo
2010-11-26 12:21 . 2010-11-26 12:21 -------- d-----w- c:\programmi\Paint.NET
2010-11-26 12:19 . 2010-11-26 12:19 -------- d-----w- c:\programmi\FotoSketcher
2010-11-26 12:16 . 2010-11-26 12:16 -------- d-----w- c:\programmi\FreeTime
2010-11-26 12:14 . 2010-11-26 12:14 -------- d-----w- c:\programmi\Ambient Design
2010-11-25 22:50 . 2010-04-28 05:41 2070528 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-11-25 22:50 . 2010-04-28 05:41 2028032 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-11-25 22:50 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-11-25 17:56 . 2010-11-25 17:56 -------- d-----w- c:\programmi\File comuni\DivX Shared
2010-11-25 17:55 . 2010-11-25 17:57 -------- d-----w- c:\programmi\DivX
2010-11-25 17:54 . 2010-11-25 17:57 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\DivX
2010-11-25 17:51 . 2010-11-25 17:51 -------- d-----w- c:\programmi\VideoLAN
2010-11-25 17:50 . 2010-11-25 17:50 -------- d-----w- c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\Google
2010-11-25 17:45 . 2010-11-25 17:45 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Google
2010-11-25 17:45 . 2010-12-14 12:03 -------- d-----w- c:\programmi\Google
2010-11-25 17:16 . 2010-12-14 13:15 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-11-25 17:16 . 2010-11-28 12:33 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2010-11-25 17:11 . 2010-11-25 17:11 -------- d-----w- c:\programmi\7-Zip
2010-11-25 16:29 . 2010-02-10 20:20 593920 ------w- c:\windows\system32\ati2sgag.exe
2010-11-25 15:30 . 2010-11-25 16:39 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-11-25 15:30 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Microsoft
2010-11-25 15:30 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Windows Live SkyDrive
2010-11-25 15:29 . 2010-11-25 15:30 -------- d-----w- c:\programmi\Windows Live
2010-11-25 15:25 . 2010-11-25 15:25 -------- d-----w- c:\programmi\File comuni\Windows Live
2010-11-25 15:18 . 2010-11-25 15:18 -------- d-----w- c:\programmi\File comuni\Adobe
2010-11-25 14:29 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-11-25 12:38 . 2010-11-25 12:38 0 ----a-w- c:\windows\ativpsrm.bin
2010-11-25 12:13 . 2010-11-26 11:08 -------- d-----w- c:\programmi\ATI Technologies
2010-11-25 12:12 . 2010-02-10 20:20 212992 ----a-w- c:\programmi\File comuni\InstallShield\Engine\6\Intel 32\ILog.dll
2010-11-25 12:12 . 2010-11-25 12:12 -------- d-----w- C:\ATI
2010-11-25 11:57 . 2010-11-25 11:57 -------- d-----w- c:\programmi\SIW
2010-11-25 11:44 . 2010-11-25 12:45 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NVIDIA Corporation
2010-11-25 11:44 . 2010-11-25 12:47 -------- d-----w- c:\programmi\NVIDIA Corporation
2010-11-25 11:29 . 2010-11-26 12:45 -------- d-----w- c:\programmi\CCleaner
2010-11-25 11:13 . 2010-11-25 11:13 -------- d-----w- c:\programmi\File comuni\Java
2010-11-25 11:12 . 2010-11-25 11:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-25 11:12 . 2010-11-25 11:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-25 11:12 . 2010-11-25 11:12 -------- d-----w- c:\programmi\Java
2010-11-25 11:04 . 2010-11-25 16:37 -------- d-----w- c:\programmi\Microsoft Works
2010-11-25 11:02 . 2008-04-14 02:13 26624 ----a-w- c:\documents and settings\LocalService\Dati applicazioni\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-11-25 10:41 . 2010-10-18 11:10 7680 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-11-25 10:40 . 2010-11-06 00:21 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-11-25 10:40 . 2010-11-06 00:21 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-11-25 10:40 . 2010-11-06 00:21 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-11-25 10:40 . 2010-11-06 00:21 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-11-25 10:40 . 2010-11-06 00:21 1991680 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-11-25 10:40 . 2010-11-06 00:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-11-25 10:40 . 2010-11-06 00:21 11080704 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-11-25 10:32 . 2010-11-25 14:29 -------- d-----w- c:\windows\system32\XPSViewer
2010-11-25 10:32 . 2010-11-25 10:32 -------- d-----w- c:\programmi\MSBuild
2010-11-25 10:32 . 2010-11-25 10:32 -------- d-----w- c:\programmi\Reference Assemblies
2010-11-25 10:31 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-11-25 10:31 . 2010-11-25 10:31 -------- d-----w- C:\4d7de5352e7bd3f96994a1c9c20a
2010-11-25 10:31 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-11-25 10:31 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-11-25 10:31 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-11-25 10:31 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-11-25 10:31 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-11-25 10:31 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-11-25 10:31 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-11-25 10:31 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-11-25 10:27 . 2010-11-25 10:27 -------- d-----w- c:\programmi\Windows Media Connect 2
2010-11-25 10:25 . 2010-11-25 10:26 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-11-25 10:25 . 2010-11-25 10:25 -------- d-----w- c:\windows\system32\LogFiles
2010-11-25 10:24 . 2010-08-16 08:44 590848 -c----w- c:\windows\system32\dllcache\rpcrt4.dll
2010-11-25 10:24 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-25 10:24 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-11-25 10:23 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-11-25 10:22 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-11-25 10:22 . 2010-08-26 13:39 357248 -c----w- c:\windows\system32\dllcache\srv.sys
2010-11-25 09:54 . 2010-11-25 09:57 -------- d-----w- c:\programmi\Abbyy FineReader 6.0 Sprint
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\programmi\Lexmark_6200 Series
2010-11-25 09:53 . 2004-11-22 12:30 12288 ----a-w- c:\windows\system32\LXPMONRC.DLL
2010-11-25 09:53 . 2004-11-22 12:27 32768 ----a-w- c:\windows\system32\LXPRMON.DLL
2010-11-25 09:53 . 2004-11-22 12:26 20480 ----a-w- c:\windows\system32\LXPMONUI.DLL
2010-11-25 09:53 . 2003-03-11 17:26 49152 ----a-r- c:\windows\system32\IM31IMG.DIL
2010-11-25 09:53 . 2003-03-11 17:26 98345 ----a-r- c:\windows\system32\IMHOST32.DLL
2010-11-25 09:53 . 2003-03-11 17:26 98304 ----a-r- c:\windows\system32\IM31XPNG.DEL
2010-11-25 09:53 . 2003-03-11 17:26 69632 ----a-r- c:\windows\system32\IM31XTIF.DEL
2010-11-25 09:53 . 2003-03-11 17:26 339968 ----a-r- c:\windows\system32\IMGMAN32.DLL
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\programmi\Lexmark Fax Solutions
2010-11-25 09:53 . 2010-11-25 09:53 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\FaxCtr
2010-11-25 09:42 . 2010-12-15 16:28 -------- d-----w- c:\programmi\Lx_cats
2010-11-25 09:39 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-11-25 09:39 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-11-25 09:35 . 2010-11-25 09:35 -------- d-----w- c:\programmi\Philips
2010-11-25 09:35 . 2005-02-26 15:25 91527 ----a-w- c:\windows\system32\drivers\usbVM31b.sys
2010-11-25 09:35 . 2004-12-18 08:58 245820 ----a-w- c:\windows\system32\VM31bPrp.Ax
2010-11-25 09:35 . 2004-06-09 14:37 40960 ----a-w- c:\windows\VM_STI.EXE
2010-11-25 09:35 . 2004-04-26 14:48 53248 ----a-w- c:\windows\amcap.exe
2010-11-25 09:35 . 2003-05-15 16:17 61440 ----a-w- c:\windows\system32\VM31bSTI.dll
2010-11-25 09:35 . 2002-08-22 15:34 147456 ----a-w- c:\windows\VMCap.exe
2010-11-25 09:35 . 2010-11-25 09:35 -------- d-----w- c:\windows\Options
2010-11-25 09:01 . 2010-12-12 11:03 -------- d-----w- c:\windows\system32\it-it
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\system32\it
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\system32\bits
2010-11-25 09:01 . 2010-11-25 09:01 -------- d-----w- c:\windows\l2schemas
2010-11-25 08:54 . 2010-11-25 08:54 -------- d-----w- c:\windows\EHome
2010-11-25 08:35 . 2010-11-25 08:59 -------- d-----w- c:\windows\ServicePackFiles
2010-11-25 08:33 . 2010-11-29 14:27 60416 ----a-w- c:\windows\ALCFDRTM.VER
2010-11-25 08:33 . 2010-11-25 08:33 60416 ----a-w- c:\windows\ALCFDRTM.EXE
2010-11-25 08:33 . 2010-11-25 08:33 -------- d-----w- c:\windows\system32\Lang
2010-11-25 08:32 . 2008-04-14 02:13 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-11-25 08:30 . 2010-11-25 08:30 -------- d-----w- c:\programmi\MSXML 4.0
2010-11-25 08:30 . 2008-06-14 17:32 272768 -c----w- c:\windows\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2004-08-19 05:00 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2006-01-09 17:59 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-19 05:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-19 05:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2004-08-19 05:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-19 05:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:13 . 2004-08-19 05:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2005-10-06 03:08 1853312 ----a-w- c:\windows\system32\win32k.sys
2010-09-18 11:23 . 2004-08-19 05:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-19 05:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-19 05:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-19 05:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-12-15_16.45.19 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-16 09:52 . 2010-12-16 09:52 16384 c:\windows\temp\Perflib_Perfdata_6b4.dat
+ 2010-12-15 19:49 . 2010-12-15 19:49 16384 c:\windows\temp\Perflib_Perfdata_600.dat
+ 2010-12-15 19:49 . 2010-12-15 19:49 16384 c:\windows\temp\Perflib_Perfdata_284.dat
- 2010-12-15 15:37 . 2010-12-15 15:37 16384 c:\windows\temp\Perflib_Perfdata_284.dat
- 2006-05-15 13:13 . 2010-11-29 12:36 84872 c:\windows\system32\perfc010.dat
+ 2006-05-15 13:13 . 2010-12-15 17:15 84872 c:\windows\system32\perfc010.dat
+ 2006-05-15 13:13 . 2010-12-15 17:15 71868 c:\windows\system32\perfc009.dat
- 2006-05-15 13:13 . 2010-11-29 12:36 71868 c:\windows\system32\perfc009.dat
+ 2006-05-15 13:13 . 2010-12-15 17:15 490660 c:\windows\system32\perfh010.dat
- 2006-05-15 13:13 . 2010-11-29 12:36 490660 c:\windows\system32\perfh010.dat
+ 2006-05-15 13:13 . 2010-12-15 17:15 442602 c:\windows\system32\perfh009.dat
- 2006-05-15 13:13 . 2010-11-29 12:36 442602 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"LXBUCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2004-11-02 69632]
"TMRUBottedTray"="c:\programmi\Trend Micro\RUBotted\TMRUBottedTray.exe" [2008-11-06 288088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acer Empowering Technology.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acer WLAN 11g USB Dongle.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acer WLAN 11g USB Dongle.lnk
backup=c:\windows\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^TrayMin300.exe.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\TrayMin300.exe.lnk
backup=c:\windows\pss\TrayMin300.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
2006-06-09 11:24 110592 ----a-w- c:\programmi\Acer\Acer eMode Management\AspireService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 14:37 40960 ----a-w- c:\windows\VM_STI.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04 1164584 ----a-w- c:\programmi\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
2006-06-01 13:40 413696 ----a-w- c:\acer\Empowering Technology\eRecovery\eRAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
2004-09-17 17:24 61440 ----a-w- c:\programmi\Lexmark 6200 Series\ezprint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
2004-11-22 12:29 299008 ----a-w- c:\programmi\Lexmark Fax Solutions\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxbumon.exe]
2005-01-18 14:37 196608 ----a-w- c:\programmi\Lexmark 6200 Series\lxbumon.exE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
2006-05-04 13:55 425984 ----a-w- c:\programmi\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
2005-05-11 16:15 45056 ----a-w- c:\programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-03-29 20:50 143360 ------w- c:\program files\Acer TV-FM\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24 32768 ----a-w- c:\programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer TV-FM\\PowerCinema.exe"=
"c:\\Program Files\\Acer TV-FM\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1108000.005\symds.sys [24/11/2010 19.55.52 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1108000.005\symefa.sys [24/11/2010 19.55.52 173104]
R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.5.0.127\Definitions\BASHDefs\20101123.003\BHDrvx86.sys [23/11/2010 3.20.07 691248]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1108000.005\cchpx86.sys [24/11/2010 19.55.52 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1108000.005\ironx86.sys [24/11/2010 19.55.52 116784]
R2 NIS;Norton Internet Security;c:\programmi\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe [24/11/2010 19.55.38 126392]
R2 RUBotted;Trend Micro RUBotted Service;c:\programmi\Trend Micro\RUBotted\TMRUBotted.exe [07/12/2010 16.59.32 582992]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05/12/2010 17.06.44 102448]
R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.5.0.127\Definitions\IPSDefs\20101213.001\IDSXpx86.sys [15/12/2010 10.56.50 341944]
R3 TMPassthruMP;TMPassthruMP;c:\windows\system32\drivers\TMPassthru.sys [07/12/2010 16.59.32 206608]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [25/11/2010 18.45.44 136176]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 TMPassthru;Trend Micro Passthru Ndis Service;c:\windows\system32\drivers\TMPassthru.sys [07/12/2010 16.59.32 206608]
.
Contenuto della cartella 'Scheduled Tasks'

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-25 17:45]

2010-12-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-25 17:45]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-16 11:16
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBUCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NIS]
"ImagePath"="\"c:\programmi\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programmi\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(964)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-12-16 11:18:16
ComboFix-quarantined-files.txt 2010-12-16 10:18
ComboFix2.txt 2010-12-15 16:46

Pre-Run: 136.072.069.120 byte disponibili
Post-Run: 136.062.267.392 byte disponibili

- - End Of File - - 6DF09B95D3EBF9F15CA40BF8B1EE9C3A
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda FDAC » gio dic 16, 2010 2:29 pm

Scarica Stealth MBR rootkit detector: http://www2.gmer.net/mbr/mbr.exe
● mettilo direttamente nella Directory C:\
riavvia il sistema in Modalità Provvisoria: http://windows.microsoft.com/it-IT/wind ... -safe-mode
● Start - Esegui - digita C:\mbr.exe e clicca su OK
● la scansione dura 1 secondo
● recati in C:/ e allega il file mbr.txt per un controllo
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda skorpione » gio dic 16, 2010 3:20 pm

Ok, ti mando il log che mi hai chiesto.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD3200JS-00PDB0 rev.21.00M21 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-9

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda FDAC » gio dic 16, 2010 3:49 pm

L'MBR è a posto.
Noti dei problemi nel tuo PC?
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: voci rosse in GMER

Messaggioda skorpione » gio dic 16, 2010 5:47 pm

Qualche giorno addietro una scansione di Spybot ha trovato nel registro alla voce Taskman, il trojan win32.autorun.tmp, un'altra scansione effettuata con Malwarebytes mi ha corretto due voci (PUM.Disabled.SecurityCenter), infine, facendo il percorso: Local_machine\SOFTWARE\microsoft\SecurityCenter\Monitoring ho trovato le cartelle Symantecantivirus e Symantecfirewall, dentro queste due cartelle la scritta: DisableMonitoring REG_DWORD 0x00000001(1). Se non hai trovato nulla di anomalo nei log che hai potuto esaminare, come mai la scansione effettuata con GMER ha evidenziato in rosso quelle voci in REGISTRY, e come mai quelle sottocartelle in SAM e Security evidenziate tutte in rosso non sono rintracciabili nel registro di sistema? Ti chiedo; e' possibile che un computer Zombie,controllato da qualcuno in remoto possa essere cosi' invisibile da sfuggire ai controlli che abbiamo effettuato coi vari programmi?
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda skorpione » mer dic 22, 2010 1:31 pm

Scusa FDAC,per quale motivo non mi hai piu' risposto?
Avatar utente
skorpione
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer dic 15, 2010 1:04 pm

Re: voci rosse in GMER

Messaggioda FDAC » mer dic 22, 2010 8:31 pm

Ciao. Il tempo non mi è amico.
Con Gmer, quale voci rosse rilevi?
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising