Olimpo Informatico

[Anyalis]

Salve a tutti.
Sono nuova ed in stato di emergenza, spero quindi di non aver duplicato un post già esistente.

Ho Windows Vista 32bit, che va in conflitto con un po' troppe cose, ho notato.

Da un paio di settimane ( il pc ha un mese di vita ) a seguito di un bluescreen ( non sono troppo rari, e sempre con gli stessi due errori ) riavviando il pc una schermata mi avvertiva che era impossibile inizializzare 0x800106ba . A seguire, symantec framework ( avevo il norton in trial version che danno col Vista ed i pc nuovi ) smetteva di funzionare.

Sinceramente, non sapendo cosa fosse 0x800106ba pensavo che il Nosrton fosse andato in errore per il bluescreen e che 0x800106ba fosse appunto un file del norton.

Quando poi mi sono resa conto che il norton non andava più, in quanto il suo exe non era una applicazione di win32 valida, l'ho disinstallato per installare avast.

Al che, quando dopo il riavvio non mi si è aperto avast e l'exe non ha funzionato per lo stesso motivo, mi sono insospettita ed ho cominciato a cercare sul web.

Una scansione on-line con bitdefender mi ha cancellato 3 files bagle , di cui due jpg ( non ho log di nulla purtroppo, lì per lì non ci ho pensato , pensavo fosse un virus comune ) ma non cambia nulla.

Ho installato anche il Nod32 poi, ma.... indovinate?

L'avenger ce l'ho sul desktop, e non si apre. Anche lui non è una applicazione win32 valida.

L'Elibagle mi apre la finestrella iniziale, ma poi non parte.

Ho disattivato i ripristini configuraioni per usare l'avenger, poi pur non avendolo potuto fare, ho pensato di lasciarli così, per evitare che si salvino punti di ripristino con questi bagle dentro ( non so se sia possibile, ma nel dubbio... )

Ho avviato almeno il firewall di windows, che mi ha bloccato un wintems ( che so appartenere al bagle ) ed un flec006 .

Vi prego, ditemi che non devo formattare, perchè a parte i dischi di ripristino che mi ha fatto fare in automatico il Vista ( e a questo punto, fatti quando già il bagle era dentro, e quindi non so, potrebbero essere infetti? ) non saprei dove pescare un SO.


Vi ringrazio anticipatamente, e mi scuso soprattutto per i grattacapi che v procurerò

[bdoriano]

Ciao Anyalis,

Comincia a fare le seguenti operazioni:

1. Disabilita il ripristino di sistema.
   
2. Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
   
3. Segui queste istruzioni per usare EliBaglA.
   
4. Segui le istruzioni di questo topic per postare il log di combofix.

[Anyalis]

se ti dico che apro sia cccleaner che atf, mi apre la schermata iniziale e poi scompare, ci credi? -.-

comincia pure a darmi errore ie, chissà che cavolo altro ho beccato -.- eppure il bitdefender non me li ha trovati.

provo ccc e atf in provvisoria?

[chemicalbit]

sì, da modalità provvisoria.

E se non ricordo male, mi pare che qualcuno in un'altra discussione avesse usato EliBaglA da modalità provvvisoria (ma non garantisco che funzioni, io personalmente non l'ho mai usato neanche in modalità normale. Penso però che valga la pena provare).

[Anyalis]

aaaaallora

in provvisoria ha funzionato tutto.

Fatti i clean con ccc e atf.
Fatto andare elibagle che ha eliminato 7 bagle, e non ha potuto accedere alle cartelle di quarantena symantec ( la roba vecchia del norton direi a sto punto ) e ad un'alatra cartella sempre symantec, e a qualche file in system32 e in registration ( in windows ).

Riavviato pc, all'apertura prima di caricarmi la schermata del Vista mi si è riaperto elibagle, fatto riandare, non accede alle stesse cartelle ma nessun bagle trovato.

e qua, il log del combofix


ComboFix 08-05-12.1 - Valeria 2008-05-14 1.38.54.1 - NTFSx86
Microsoft® Windows Vista? Home Premium 6.0.6000.0.1252.1.1040.18.2189 [GMT 2:00]
Eseguito da: C:\Users\Valeria\Desktop\ComboFix.exe
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\1013694.exe
C:\Windows\system32\drivers\downld\1027157.exe
C:\Windows\system32\drivers\downld\1033569.exe
C:\Windows\system32\drivers\downld\1074300.exe
C:\Windows\system32\drivers\downld\1077670.exe
C:\Windows\system32\drivers\downld\1095626.exe
C:\Windows\system32\drivers\downld\1113191.exe
C:\Windows\system32\drivers\downld\595986.exe
C:\Windows\system32\drivers\downld\596922.exe
C:\Windows\system32\drivers\downld\612569.exe
C:\Windows\system32\drivers\downld\619479.exe
C:\Windows\system32\drivers\downld\630290.exe
C:\Windows\system32\drivers\downld\634019.exe
C:\Windows\system32\drivers\downld\634580.exe
C:\Windows\system32\drivers\downld\635938.exe
C:\Windows\system32\drivers\downld\663238.exe
C:\Windows\system32\drivers\downld\684875.exe
C:\Windows\system32\drivers\downld\701505.exe
C:\Windows\system32\drivers\downld\717167.exe
C:\Windows\system32\drivers\downld\723922.exe
C:\Windows\system32\drivers\downld\740053.exe
C:\Windows\system32\drivers\downld\757244.exe
C:\Windows\system32\drivers\downld\831282.exe
C:\Windows\system32\drivers\downld\831298.exe
C:\Windows\system32\drivers\downld\912075.exe
C:\Windows\system32\drivers\downld\924446.exe
C:\Windows\system32\drivers\downld\941154.exe
C:\Windows\system32\drivers\downld\944976.exe
C:\Windows\system32\drivers\downld\957924.exe
C:\Windows\system32\drivers\downld\982712.exe
C:\Windows\system32\drivers\downld\984085.exe
C:\Windows\system32\drivers\downld\998874.exe
C:\Windows\system32\drivers\downld\a.bat
C:\Windows\system32\jusched.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-04-13 al 2008-05-13 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-13 23:30 --------- d-----w C:\Users\Valeria\AppData\Roaming\OpenOffice.org2
2008-05-13 22:24 --------- d-----w C:\Program Files\CCleaner
2008-05-13 21:08 --------- d-----w C:\Program Files\ESET
2008-05-13 21:06 512,096 ----a-w C:\Windows\system32\drivers\amon.sys
2008-05-13 21:06 298,104 ----a-w C:\Windows\System32\imon.dll
2008-05-13 21:06 15,424 ----a-w C:\Windows\system32\drivers\nod32drv.sys
2008-05-13 17:54 --------- d-----w C:\Program Files\Alwil Software
2008-05-13 17:14 --------- d-----w C:\Program Files\PopCap Games
2008-05-13 16:27 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-05-13 16:18 --------- d-----w C:\PROGRA~2\Symantec
2008-05-13 15:29 --------- d-----w C:\Users\Valeria\AppData\Roaming\Skype
2008-05-13 15:10 --------- d-----w C:\Program Files\Skype
2008-05-13 15:10 --------- d-----w C:\Program Files\Common Files\Skype
2008-05-13 15:10 --------- d-----w C:\PROGRA~2\Skype
2008-05-12 22:19 --------- d-----w C:\Users\Valeria\AppData\Roaming\NoNameScript
2008-05-12 21:04 --------- d-----w C:\Program Files\mIRC
2008-05-09 18:07 --------- d-----w C:\Program Files\Microsoft Works
2008-05-09 18:07 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-05-09 18:00 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-09 16:10 --------- d-----w C:\Program Files\Java
2008-04-25 08:41 --------- d---a-w C:\Program Files\HP PSE 9.0 SW
2008-04-25 00:52 108,144 ----a-w C:\Windows\System32\CmdLineExt.dll
2008-04-25 00:52 --------- d--h--r C:\Users\Valeria\AppData\Roaming\SecuROM
2008-04-25 00:40 --------- d-----w C:\Program Files\MagicDisc
2008-04-25 00:31 --------- d-----w C:\Program Files\MagicISO
2008-04-24 16:23 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-24 16:23 --------- d-----w C:\PROGRA~2\FLEXnet
2008-04-24 00:08 --------- d-----w C:\Users\Valeria\AppData\Roaming\CyberLink
2008-04-21 16:11 --------- d-----w C:\PROGRA~2\BVRP Software
2008-04-21 15:33 --------- d-----w C:\PROGRA~2\Avanquest Software
2008-04-21 15:21 --------- d-----w C:\Program Files\Motorola Phone Tools
2008-04-21 15:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-21 15:17 25,600 ----a-w C:\Users\Valeria\usbsermptxp.sys
2008-04-21 15:17 22,768 ----a-w C:\Windows\system32\drivers\usbsermpt.sys
2008-04-21 15:17 22,768 ----a-w C:\Users\Valeria\usbsermpt.sys
2008-04-19 11:01 --------- d-----w C:\PROGRA~2\Messenger Plus!
2008-04-15 20:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-15 20:55 --------- d-----w C:\Program Files\Bonjour
2008-04-15 20:49 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-04-13 16:35 --------- d-----r C:\Users\Valeria\AppData\Roaming\Brother
2008-04-13 12:40 --------- d-----w C:\Users\Valeria\AppData\Roaming\vlc
2008-04-13 01:01 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-04-12 17:46 --------- d-----w C:\Program Files\VideoLAN
2008-04-12 02:52 --------- d-----w C:\Users\Valeria\AppData\Roaming\SecondLife
2008-04-12 01:53 --------- d-----w C:\Program Files\Windows Sidebar
2008-04-12 01:53 --------- d-----w C:\Program Files\Windows Mail
2008-04-12 01:09 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr
2008-04-12 01:09 67,584 ----a-w C:\Windows\System32\wlanhlp.dll
2008-04-12 01:09 542,720 ----a-w C:\Windows\System32\sysmain.dll
2008-04-12 01:09 502,784 ----a-w C:\Windows\System32\wlansvc.dll
2008-04-12 01:09 47,104 ----a-w C:\Windows\System32\wlanapi.dll
2008-04-12 01:09 297,984 ----a-w C:\Windows\System32\wlansec.dll
2008-04-12 01:09 290,816 ----a-w C:\Windows\System32\wlanmsm.dll
2008-04-12 01:09 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2008-04-12 01:09 24,064 ----a-w C:\Windows\System32\wtsapi32.dll
2008-04-12 01:09 2,923,520 ----a-w C:\Windows\explorer.exe
2008-04-12 01:08 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-04-12 01:08 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-04-12 01:06 1,585,664 ----a-w C:\Windows\System32\setupapi.dll
2008-04-12 01:06 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-12 01:04 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-04-12 01:04 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-04-12 01:04 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-04-12 01:04 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-04-12 01:04 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-04-12 01:04 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-04-12 01:04 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-04-12 01:04 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2008-04-12 01:04 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-04-12 01:03 84,480 ----a-w C:\Windows\System32\dnsrslvr.dll
2008-04-12 01:03 24,576 ----a-w C:\Windows\System32\dnscacheugc.exe
2008-04-12 01:02 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2008-04-12 01:02 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-04-12 01:02 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2008-04-12 01:02 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-12 01:02 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-12 01:02 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-12 01:02 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2008-04-12 01:02 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2008-04-12 01:01 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-04-12 01:01 --------- d-----w C:\Program Files\MSXML 4.0
2008-04-11 23:55 --------- d-----w C:\PROGRA~2\eMule
2008-04-11 23:48 --------- d-----w C:\Users\Valeria\AppData\Roaming\eMule
2008-04-11 23:48 --------- d-----w C:\Program Files\eMule
2008-04-11 22:37 --------- d-----w C:\Users\Valeria\AppData\Roaming\mIRC
2008-04-11 21:33 --------- d-----w C:\PROGRA~2\ScanSoft
2008-04-11 21:31 --------- d-----w C:\Users\Valeria\AppData\Roaming\ScanSoft
2008-04-11 21:15 --------- d-----w C:\Program Files\Toshiba
2008-04-11 20:55 --------- d-----w C:\Program Files\Brother
2008-04-11 20:54 --------- d-----w C:\Users\Valeria\AppData\Roaming\InstallShield
2008-04-11 20:53 --------- d-----w C:\Program Files\Nuance
2008-04-11 20:53 --------- d-----w C:\PROGRA~2\InstallShield
2008-04-11 20:52 --------- d-----w C:\Program Files\ScanSoft
2008-04-11 20:52 --------- d-----w C:\Program Files\Common Files\ScanSoft Shared
2008-04-11 20:52 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-04-11 20:51 --------- d-----w C:\PROGRA~2\Brother
2008-04-11 20:29 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-11 20:09 805 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF
2008-04-11 20:09 10,740 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT
2008-04-11 19:33 --------- d-----w C:\Program Files\Windows Live
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-04-12 03:04 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-28 21:29 1006264]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [ ]
"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 18:16 65536]
"OsdMaestro"="C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 13:59 118784]
"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-10-25 15:52 4702208 C:\Windows\RtHDVCpl.exe]
"HP Health Check Scheduler"="[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"SunJavaUpdateReg"="C:\Windows\system32\jureg.exe" [2007-12-14 03:42 54672]
"HP Software Update"="c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 17:24 54840]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 21:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 21:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 13:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-05-13 23:14 949376]

C:\Users\Valeria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MagicDisc.lnk - C:\Program Files\MagicDisc\MagicDisc.exe [2008-04-25 02:40:21 546816]
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Users\Valeria\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\
MagicDisc.lnk - C:\Program Files\MagicDisc\MagicDisc.exe [2008-04-25 02:40:21 546816]
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4229474063-3821880561-465189693-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{CFD47DFE-8302-4649-8F00-172FBEB4DD61}"= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{B020E9E1-F518-490A-8496-71264550D734}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{235343F8-03B9-4243-A5A8-FBEF007AA898}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{AEF30A71-AE5A-4FBE-8B86-9EF71D468727}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{153604C8-5549-4779-BC20-7E37991CF137}"= UDP:C:\Program Files\eMule\emule.exe:eMule
"{CF0C1D00-4432-44A8-ACB4-27E5F25C037F}"= TCP:C:\Program Files\eMule\emule.exe:eMule
"{23D26FFA-E71F-4399-B3E4-68ABEF101424}"= UDP:C:\Program Files\Internet Explorer\iexplore.exe:Internet Explorer
"{1B65D644-B1FC-42D8-A70E-E620641F7D2B}"= TCP:C:\Program Files\Internet Explorer\iexplore.exe:Internet Explorer
"{3073E20D-FE87-40E4-AE4B-14BD0DADB4ED}"= UDP:C:\Program Files\eMule\LinkCreator.exe:LinkCreator
"{02AF7F40-84D0-428B-B11E-F1444767F60F}"= TCP:C:\Program Files\eMule\LinkCreator.exe:LinkCreator
"{9A9AAFD3-5937-4D64-A1CF-7B7BD6B43DBD}"= UDP:C:\Program Files\mIRC\mirc.exe:mIRC
"{46E6DD1C-E206-4387-8D78-5798355B693D}"= TCP:C:\Program Files\mIRC\mirc.exe:mIRC
"{054D6565-4089-404C-97F9-59D1F70F8410}"= UDP:C:\Program Files\ESET\nod32.exe:NOD32
"{A221502E-ED54-40BD-AD40-F6DEE125EC34}"= TCP:C:\Program Files\ESET\nod32.exe:NOD32
"{66791035-D34C-4E9A-98A1-C1F4D41D4DE3}"= UDP:C:\Program Files\ESET\nod32kui.exe:NOD32 Control Center
"{93B5BAA0-C990-4E08-A8D5-5AF2FFA7B651}"= TCP:C:\Program Files\ESET\nod32kui.exe:NOD32 Control Center
"{0F1CB58A-9CA4-4E31-89A2-21A4FEC4E02D}"= UDP:C:\Program Files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger
"{F2BA3714-BD28-400A-B760-EE1097F4898B}"= TCP:C:\Program Files\Windows Live\Messenger\msnmsgr.exe:Windows Live Messenger

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-09-15 00:16]
S3 GameConsoleService;GameConsoleService;"C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe" [2007-07-24 01:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1262b532-0c89-11dd-a842-000000000000}]
\shell\AutoRun\command - J:\nideiect.com
\shell\explore\Command - J:\nideiect.com
\shell\open\Command - J:\nideiect.com

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-14 01:40:01
Windows 6.0.6000 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-05-14 1.41.36
ComboFix-quarantined-files.txt 2008-05-13 23:40:40

Impossibile trovare il testo del messaggio per il numero di messaggio 0x2379 nel file di messaggio per Application.
Impossibile trovare il testo del messaggio per il numero di messaggio 0x2379 nel file di messaggio per Application.

249 --- E O F --- 2008-04-23 22:06:06

[bdoriano]

Ottimo!

Ci sono ancora alcune cosettine da sistemare, ma andiamo già meglio.
Alla fine di tutto, dovrai controllare una periferica USB (chiavetta o HD esterno) molto probabilmente infetta.

1. Crea un file di testo con le seguenti istruzioni:
   

   Codice:

   Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1262b532-0c89-11dd-a842-000000000000}]

   
   Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
   
   Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
   Posta il log aggiornato di combofix.
   
   
2. Fai questa scansione con VirIT
   
   
3. Fai questi controlli online:
   
   • Disabilita il tuo antivirus
     
   • Collegati a BitDefender (con IE) e fai la scansione completa.
     
   • Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
     Salva il risultato della scansione in un file (in formato TXT), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

[Anyalis]

Buongiorno

Dunque dunque...

link la scansione aggirnata del combofix.

VirIT non ha trovato nulla

Bitdefender mi ha tolto questi link

e non riesco a fare la scansione col Kaspersky

"Le impostazioni di protezione correnti non consentono ai siti Web di utilizzare i controlli ActiveX installati nel computer. La pagina potrebbe non essere visualizzata correttamente. Fare clic qui per ulteriori opzioni."

ho aggiunto il sito all'elenco dei siti attendibili, e settato la protezione al minimo, ma niente.
Fatto un paio di tentativi e non ne vuole sapere, ho anche disattivato il firewall windows.

Riprovo intanto, ma se non va?




**aggiunta successiva - e giustappunto, non funziona, nemmeno mettendo le manine nelle impostazioni personalizzate e consentendo praticamente qualsiasi cosa.

Ho rimesso su il firewall, e lo tengo fino a nuovo ordine

[bdoriano]

Il log di Combofix sembra pulito e BitDefender ha eliminato alcuni files presenti nel backup di ComboFix.

Se non funziona con Kaspersky, prova con Panda Active Scan e/o ESET Scan Online.

Hai provato a fare anche una scansione completa del pc con il tuo antivirus (NOD32)?

[Anyalis]

l'antivirus non va in avvio automatico, e se provo ad aprirlo continua a dirmi che è un'applicazione di win32 non valida.

Dici che, avendolo installato già col bagle nel pc, dovrei reinstallarlo?

Ieri sera ho messo anche l'ad-aware ( mi trovavo ) e una scansione mi ha trovato il bagle ( che non ho rimosso non sapendo se poi modificava qualcosa di quanto postato nel log del combifix )

in parole povere... provo a tirar giù tutto il tirabile con qualsiasi mezzo a mia disposizione?

ps : il panda online non va :\ apro il collegamento, e mi apre un link con pagina bianca

pps: indovina il browser di chi segnala che "Le impostazioni di protezione correnti non consentono ai siti Web di utilizzare i controlli ActiveX installati nel computer. La pagina potrebbe non essere visualizzata correttamente. Fare clic qui per ulteriori opzioni." quando cerca di usare lo scanner eset on-line?

omincio a credere che più che un worm, sia una macumba :\


aggiunta successiva : reinstallato nod32 e... FUNZIONA *__* ma ho ancora l'errore 0x800106ba all'avvio, insieme al neo-giunto errore 0xc0000142 quando riavvio

il defender risulta disattivato , indi...

boh o.ò

[bdoriano]

Qualche rimasuglio, forse.

Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[chemicalbit]

Le scansioni online le fai con Internet Explorer, giusto?
(richiedono quello -purtroppo - perché richiedonono le ActiveX)

[Anyalis]

Il nod non ha trovato nulla e mi sa nemmeno il sistemscan.

link


ps : non per mancanza di volontà, ma il codice forum dato da filehosting non mi funziona qua, per questo posto i link

pps : si, ie 7. E quanto rompe -.- quando lo usavo sull' Xp Sp2 non rompeva così :\

[bdoriano]

[Anyalis]

ah


e l'esito della TAC? Prendo appuntamento con l'infermiera e pago il ticket?

[bdoriano]

Quando hai installato VirIT non hai disattivato il VirIT Lite Monitor come indicato nelle istruzioni.

Ti conviene farlo prima possibile per evitare eventuali conflitti con altri programmi.

Dimenticavo: per l'analisi completa del log ci vorrà del tempo. Sii paziente.

[chemicalbit]

[Anyalis]

l'ho fatto... :\

e prima di usare il sistemscan, per sicurezza l'ho proprio disinstallato il
VirIT.


*** aggiunta in seguito - anche un secolo, siete fin troppo gentili, figuriamoci se potrei mai pensare di volervi pure mettere fretta :\

[bdoriano]

[Anyalis]

Eusing mi ha pulito 2869 errori o giù di lì, e Auslogic mi ha recuperato un 21% d spazio nel registro.

quando ha riavviato, windows mi ha gentilmente risegnalato che 0xc0000142 non è stata correttamente inizialittata, e quando è ripartito il Vista mi ha gentilmente avvertita che è impossibile inizializzare 0x800106ba a causa di un problema.

il mio pc mi ama, lo so.