Olimpo Informatico

[lele76]

Ciao a tutti
Cercando qualcuno che mi aiutasse a cancellare un dialers che mi sono beccato, mi sono imbattuto in questo forum che tra tanti ho scelto perchè mi sembra che le persone che ne sono membre oltre a essere gentili sono anche molto capaci.
Il dialers che mi sono beccato è del tip instant acess "bastardo" .ho fatto la scansione con spybot ma niente sembra inesistente...Eppure l'icona appare...
Leggendo le vostre risposte ho Scaricato Findawf e ho fatto la scansioe Questo è quello che è uscito fiori:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\HP\KBD\BAK

02/02/2005 16.44 61.440 KBD.EXE
1 File 61.440 byte
2 Directory 54.535.610.368 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ITUNES\BAK

23/02/2006 16.45 278.528 iTunesHelper.exe
1 File 278.528 byte
2 Directory 54.535.610.368 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\QUICKT~1\BAK

18/05/2006 06.35 282.624 qttask.exe
1 File 282.624 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SMINST\BAK

22/07/2005 23.14 237.568 RECGUARD.EXE
1 File 237.568 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM\BAK

11/05/2007 09.52 182 hpsysdrv.DAT
07/05/1998 18.04 52.736 hpsysdrv.exe
2 File 52.918 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM32\BAK

04/12/2003 12.34 406.016 PSDrvCheck.exe
1 File 406.016 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

13/01/2007 20.58 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

14/08/2005 05.05 344.064 atiptaxx.exe
1 File 344.064 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ELABOR~1\CLONECD\BAK

02/11/2002 08.33 45.056 ElbyCheck.exe
1 File 45.056 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

12/05/2005 07.12 49.152 HPwuSchd2.exe
1 File 49.152 byte
2 Directory 54.535.606.272 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

15/06/2006 13.36 229.376 LAUNCH~1.EXE
1 File 229.376 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\TRUST\TRUSTM~1\BAK

18/02/2006 23.14 462.848 CnxDslTb.exe
1 File 462.848 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

28/07/2004 00.50 81.920 issch.exe
28/07/2004 00.50 221.184 ISUSPM.exe
2 File 303.104 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

09/12/2005 21.39 180.269 realsched.exe
1 File 180.269 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

07/03/2007 23.30 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\HP\DIGITA~1\{33D6C~1\BAK

02/06/2005 08.35 49.152 hphupd08.exe
1 File 49.152 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\JAVA\JRE15~2.0_1\BIN\BAK

15/12/2006 04.23 75.520 jusched.exe
1 File 75.520 byte
2 Directory 54.535.602.176 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

08/02/2005 06.00 98.304 E_FATIACE.EXE
1 File 98.304 byte
2 Directory 54.535.602.176 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24076 5 Apr 2007 "C:\hp\KBD\KBD.EXE"
61440 2 Feb 2005 "C:\hp\KBD\bak\KBD.EXE"
24076 5 Apr 2007 "C:\Programmi\iTunes\iTunesHelper.exe"
278528 23 Feb 2006 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
24076 5 Apr 2007 "C:\Programmi\QuickTime\qttask.exe"
282624 18 May 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
24076 5 Apr 2007 "C:\WINDOWS\SMINST\RECGUARD.EXE"
237568 22 Jul 2005 "C:\WINDOWS\SMINST\bak\RECGUARD.EXE"
246 4 Apr 2007 "C:\WINDOWS\system\hpsysdrv.dat"
182 11 May 2007 "C:\WINDOWS\system\bak\hpsysdrv.DAT"
24076 5 Apr 2007 "C:\WINDOWS\system\hpsysdrv.exe"
52736 7 May 1998 "C:\WINDOWS\system\bak\hpsysdrv.exe"
406016 4 Dec 2003 "C:\WINDOWS\system32\bak\PSDrvCheck.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
108160 13 Jan 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
24076 5 Apr 2007 "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
344064 14 Aug 2005 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
24076 5 Apr 2007 "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe"
45056 2 Nov 2002 "C:\Programmi\Elaborate Bytes\CloneCD\bak\ElbyCheck.exe"
24076 5 Apr 2007 "C:\Programmi\HP\HP Software Update\HPwuSchd2.exe"
49152 12 May 2005 "C:\Programmi\HP\HP Software Update\bak\HPwuSchd2.exe"
24076 5 Apr 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe"
229376 15 Jun 2006 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LAUNCH~1.EXE"
24076 5 Apr 2007 "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
462848 18 Feb 2006 "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe"
81920 28 Jul 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
221184 28 Jul 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"
180269 9 Dec 2005 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
52272 7 Mar 2007 "C:\Programmi\Google\googletoolbar2user.exe"
138168 5 Feb 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
24076 5 Apr 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
171448 7 Mar 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
24076 5 Apr 2007 "C:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe"
49152 2 Jun 2005 "C:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\bak\hphupd08.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
24076 5 Apr 2007 "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE"


end of report


Che mi dite...Io obbiettivamente non ci capisco una mazza di ciò che c'è scritto...
Spero tanto che riusciate a dirmi qualcosa...altrimenti mi rimane solo il martello

[bdoriano]

Scarica avenger.
Avvialo
clicca su input script manually
clicca sulla lente d'igrandimento
nella finestra View/Edit script copia le righe seguenti:

[lele76]

ho fatto quasi tutto e di seguito ti invio i risultati di findawf;

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\HP\KBD\BAK

0 File 0 byte
2 Directory 54.542.688.256 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ITUNES\BAK

0 File 0 byte
2 Directory 54.542.688.256 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SMINST\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

13/01/2007 20.58 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\ELABOR~1\CLONECD\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\TRUST\TRUSTM~1\BAK

0 File 0 byte
2 Directory 54.542.684.160 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

0 File 0 byte
2 Directory 54.542.680.064 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

0 File 0 byte
2 Directory 54.542.680.064 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

0 File 0 byte
2 Directory 54.542.680.064 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\HP\DIGITA~1\{33D6C~1\BAK

0 File 0 byte
2 Directory 54.542.680.064 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\PROGRA~1\JAVA\JRE15~2.0_1\BIN\BAK

0 File 0 byte
2 Directory 54.542.680.064 byte disponibili
Il volume nell'unit… C Š HP_PAVILION
Numero di serie del volume: 10EF-6595

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

08/02/2005 06.00 98.304 E_FATIACE.EXE
1 File 98.304 byte
2 Directory 54.542.680.064 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
108160 13 Jan 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
24076 5 Apr 2007 "C:\Avenger\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE"


end of report


Dti invio anche i risultati di hijackthis.log

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.52.01, on 15/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Remote\SimHID\SimHID.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\Java\jre1.5.0_11\bin\jucheck.exe
C:\Documents and Settings\HP_Proprietario\Desktop\pc sicuro\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HPHUPD08] c:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [caffcanx] C:\jjicxeek.bat
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SimHID.lnk = C:\Programmi\Remote\SimHID\SimHID.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?d33f41e075f446dfbb28b16c2854c4ef
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?d33f41e075f446dfbb28b16c2854c4ef
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: www.playitalia.com
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/it/4,0,0,90/mcinsctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFFC39E7-76B1-4BC8-91FF-EEEE90A99CE0}: NameServer = 85.37.17.55 85.38.28.93
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 10021 bytes


L'unica cosa sono il log di avenger perchè non riesco a trovarlo da nessuna parte

[bdoriano]

FindAWF ha trovato ancora qualcosina, ma non dovrebbe essere nulla di che.
Prova a eliminare a mano il file C:\Avenger\E_FATIACE.EXE.

Per hijackthis procedi così:
avvia hijack
clicca su do a system scan only
metti il segno di spunta alle seguenti voci:

[lele76]

ho elimenato il file C:\Avenger\E_FATIACE.EXE. ti volevo chiedere una cosa è normale che si trova in una cartella compressa?
ho messo il segno di spunta dove mi hai indicato anche se non ho trovato
O4 - HKLM\..\Run: [caffcanx] C:\jjicxeek.bat
l'applicazione che mi hai consigliato di scaricare per fargli fare una scansione è gmer.zip l'ho fatto partire ha terminato ma non mi ascia nessun log. non riesco a capire il motivo eppure mi sembra di aver fatto tutto per bene...Mha riproerò per vedere se riesco...
Grazie per la Pazienza

[cipy]

Ciao, sono nuovo del forum e anche io mi sono imbattuto in questo "benedetto" instant access

il risultato della scansione con FindAWF è questo:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Numero di serie del volume: DCDE-83CD

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
09/07/2001 12.50 155.648 NeroCheck.exe
07/04/2006 11.37 135.168 nvraidservice.exe
3 File 306.176 byte
2 Directory 301.549.654.016 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

13/11/2006 23.07 406.016 avgcc.exe
1 File 406.016 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

15/02/2007 21.28 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\GRISOFT\AVGANT~1.5\BAK

07/10/2006 14.20 6.266.880 avgas.exe
1 File 6.266.880 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\HP\HPCORE~1\BAK

12/01/2005 15.54 241.664 hpcmpmgr.exe
1 File 241.664 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

17/02/2005 00.11 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

08/09/2005 12.06 94.208 NMBgMonitor.exe
1 File 94.208 byte
2 Directory 301.549.649.920 byte disponibili
Numero di serie del volume: DCDE-83CD

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

09/11/2006 16.07 49.263 jusched.exe
1 File 49.263 byte
2 Directory 301.549.649.920 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
267776 7 Apr 2006 "C:\WINDOWS\system32\NvRaidMan.exe"
135168 7 Apr 2006 "C:\WINDOWS\system32\bak\nvraidservice.exe"
416256 16 May 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
406016 13 Nov 2006 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
411648 15 Feb 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
416256 16 May 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
406016 13 Nov 2006 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
411648 15 Feb 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
6266880 7 Oct 2006 "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe"
6266880 7 Oct 2006 "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe"
241664 12 Jan 2005 "C:\Programmi\HP\hpcoretech\bak\hpcmpmgr.exe"
49152 17 Feb 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
23568 15 May 2007 "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
94208 8 Sep 2005 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe"


end of report


mi potreste dare una mano con lo script da usare con avenger?

grazie 1000

p.s. prima di lanciare avenger lo disattivo il ripristino configurazione di sistema?

[Orange]

[Orange]

cipy ti consiglierei di reinstallare AVG. ho notato che alcuni applicazioni di sicurezza non funzionano bene dopo aver eseguito lo script.. (chissa poi perchè )
devi solo sostituire questo file:
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe ( taglia )
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe ( incolla )

[cipy]

[bdoriano]

Ciao cipy,
apparentemente non c'è nulla da cancellare.
Il virus, normalmente, è contenuto in un file di 24076 bytes di lunghezza e, nel tuo log, non ne vedo traccia.
Se, nonostante tutto, il tuo pc ha problemi, posta un log di hijackthis.

[cipy]

dopo aver seguito le vostre istruzioni sembra andare tutto bene, se poi si ripresenta vedremo!

cmq volevo precisare ke la prima volta ke mi è apparsa l'icona di instant access, di istinto ho eliminato manualmente il file .exe a cui mi rimandava il link e ke si trovava in C:C:\Documents and Settings\33333\Impostazioni locali\Temp. Tempo due giorni e l'icona è ricomparsa... vedremo stavolta!

grazie per l'assistenza

[lele76]

che idiota che sono....
ecco il risultato:
GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-05-17 19:06:40
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT Vax347b.sys ZwClose
SSDT Vax347b.sys ZwCreateKey
SSDT Vax347b.sys ZwCreatePagingFile
SSDT Vax347b.sys ZwEnumerateKey
SSDT Vax347b.sys ZwEnumerateValueKey
SSDT Vax347b.sys ZwOpenKey
SSDT Vax347b.sys ZwQueryKey
SSDT Vax347b.sys ZwQueryValueKey
SSDT Vax347b.sys ZwSetSystemPowerState

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 25AE 8050147E 2 Bytes [ BC, F7 ]
? ekdbsnya.sys Impossibile trovare il file specificato.
? C:\WINDOWS\system32\DRIVERS\update.sys

---- User code sections - GMER 1.0.12 ----

.text C:\Programmi\MSN Messenger\msnmsgr.exe[2628] kernel32.dll!SetUnhandledExceptionFilter 7C84479D 5 Bytes JMP 004DE392 C:\Programmi\MSN Messenger\msnmsgr.exe

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 82B84FB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 82835EA0
Device \FileSystem\Udfs \UdfsCdRom IRP_MJ_READ 828F8B98
Device \FileSystem\Udfs \UdfsDisk IRP_MJ_READ 828F8B98
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 828693D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 828693D0
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ 827B0368
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_NAMED_PIPE 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_EA 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_EA 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_VOLUME_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_VOLUME_INFORMATION 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DIRECTORY_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FILE_SYSTEM_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_LOCK_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLEANUP 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_MAILSLOT 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_SECURITY 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_SECURITY 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CHANGE 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_QUOTA 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_QUOTA 828693D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 828693D0
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_NAMED_PIPE 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_READ 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_WRITE 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FLUSH_BUFFERS 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DIRECTORY_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FILE_SYSTEM_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_LOCK_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLEANUP 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_MAILSLOT 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_SECURITY 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_SECURITY 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CHANGE 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_QUOTA 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_QUOTA 82884290
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_NAMED_PIPE 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_READ 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_WRITE 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FLUSH_BUFFERS 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DIRECTORY_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FILE_SYSTEM_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_LOCK_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLEANUP 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_MAILSLOT 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_SECURITY 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_SECURITY 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CHANGE 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_QUOTA 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_QUOTA 82884290
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_CREATE 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_CREATE_NAMED_PIPE 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_CLOSE 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_READ 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_WRITE 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_QUERY_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_SET_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_QUERY_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_SET_EA 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_FLUSH_BUFFERS 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_QUERY_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_SET_VOLUME_INFORMATION 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_DIRECTORY_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_FILE_SYSTEM_CONTROL 82884290
Device \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_DEVICE_CONTROL

[bdoriano]

Il log di gmer è lunghetto, devi salvarlo su http://www.mytempdir.com e postare qui il link che ti verrà assegnato.

[bdoriano]

Dovresti rifare il log, mi servono altre informazioni. C'è un oggettino strano...
Quando esegui gmer, tutte le voci nel tab rootkit vanno spuntate.

Fai un giro anche con quest'altro e posta anche il suo log sempre tramite mytempdir.



edit by Gateo: metto qua il link di lele76 "vagante"

[lele76]

le voci di GMER le ho spuntate ma adesso non mi fa più aprire nulla neanche le cartelle ...
Ogni volta che tento di aprire qualcosa mi spunta fuoru una finestra che si chiama GMER- New proces...Non riesco neanche ad aprire windows in modalità provvisoria..

[bdoriano]

Cos'è che ti fa?
In che senso non riesci neanche ad aprire le cartelle e ad avviare windows in modalità provvisoria?
Ma gmer ha finito la scansione?
Le voci che hai spuntato erano alla tua destra e avevano questi nomi:
System, sections, devices, modules, processes, threads, libraries, services, registry, files. Vero?
Cerca di spiegare in dettaglio cosa sta succedendo e non lasciarti prendere dal panico.

[bdoriano]

Non è che forse hai spuntato le voci presenti nel tab Settings anziche quelle del tab Rootkit?

[lele76]

si ho spuntato quelle del setting erano le uniche non spuntate ..
Quelle del Rookit erano gia tutte spuntate...
Ogni volta che cerco di aprire un file qualsiasi esso sia il GMER mi apre quella finestra che ti ho spiegato prima...
Ho provato a riavviare in modalità provvisoria per cercare di deselezionare le voci che erroneamente ho spunatto ma niente ..la modalità provvisoria non parte..rimane la pagina nera.
adesso provo di nuovo se non mi vedi più è perchè sono andato a comprare un altro computer..

[bdoriano]

Aspetta a comprarne uno nuovo.
Non riesci a riavviare gmer e disattivare le voci che hai attivato?

PS: Le impostazioni che hai attivato vengono salvate nel file gmer.ini che dovrebbe trovarsi in C:\WINDOWS oppure nella stessa cartella in cui hai salvato gmer.
Prova anche a cancellare quel file e a riavviare il pc.

[Orange]

o al limite fai il ripristino....