Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Sospetto di virus...
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 14 Mag 2009 15:10    Oggetto: Sospetto di virus... Rispondi citando
Salve a tutti!!
Sospetto di aver beccato un qualche malware... Il mio computer è più lento del solito e poi, nella cartella dei files temporanei di windows, negli ultimi due giorni ho trovato una marea di files che non c'erano mai stati.

Scansione con Norman Cleaner:
Norman Malware Cleaner
Copyright © 1990 - 2009, Norman ASA. Built 2009/05/13 09:58:52

Norman Scanner Engine Version: 6.01.05
Nvcbin.def Version: 6.01.00, Date: 2009/05/13 09:58:52, Variants: 3179448

Scan started: 14/05/2009 12:56:27

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 3
Logged on user: MARZIA\Administrator

Set registry value: HKCR\piffile\shell\open\command\ = ""%1" %*"" -> ""%1" %*"
Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll" -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000


Scanning running processes and process memory...

Number of processes/threads found: 670
Number of processes/threads scanned: 670
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 16s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*


Running post-scan cleanup routine:

Number of files found: 379982
Number of archives unpacked: 7070
Number of files scanned: 379971
Number of files not scanned: 11
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 54m 6s

Scanzione con Combofix:
ComboFix 09-05-13.02 - Administrator 14/05/2009 14.36.13.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.622 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\Combo-Fix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrator\Dati applicazioni\.#

.
((((((((((((((((((((((((( Files Creati Da 2009-04-14 al 2009-05-14 )))))))))))))))))))))))))))))))))))
.

2009-05-11 16:27 . 2009-05-11 16:27 -------- d-sh--w c:\documents and settings\Administrator\IECompatCache
2009-05-11 15:10 . 2009-05-11 15:10 -------- d-sh--w c:\documents and settings\Administrator\PrivacIE
2009-05-11 15:09 . 2009-05-11 15:09 -------- d-sh--w c:\documents and settings\Administrator\IETldCache
2009-05-11 15:05 . 2009-05-11 15:05 -------- d-----w c:\windows\ie8updates
2009-05-11 15:05 . 2009-04-25 05:30 102400 ------w c:\windows\system32\dllcache\iecompat.dll
2009-05-11 15:03 . 2009-05-11 15:05 -------- dc-h--w c:\windows\ie8
2009-05-10 17:07 . 2009-05-10 17:07 178088 ----a-w c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2009-04-16 10:51 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 10:51 . 2009-03-06 14:19 286208 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-16 10:51 . 2009-02-09 11:22 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-16 10:51 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-16 10:51 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-16 10:51 . 2009-02-09 10:51 683520 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-16 10:51 . 2009-02-09 10:51 734720 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 10:51 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-16 10:51 . 2009-02-09 10:51 736256 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-16 10:50 . 2008-04-21 21:14 219136 ------w c:\windows\system32\dllcache\wordpad.exe
2009-04-15 20:01 . 2004-01-28 13:03 21456 ----a-w c:\windows\system32\drivers\SilvrLnk.sys
2009-04-15 20:01 . 2004-02-04 08:27 49536 ----a-w c:\windows\system32\drivers\tiehdusb.sys
2009-04-15 20:00 . 2009-04-15 20:00 -------- d-----w c:\programmi\File comuni\TI Shared
2009-04-15 20:00 . 2009-04-15 20:01 -------- d-----w c:\programmi\TI Education
2009-04-15 19:57 . 2009-04-15 19:57 -------- d-----w c:\programmi\File comuni\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-14 12:31 . 2006-05-08 11:19 84156 ----a-w c:\windows\system32\perfc010.dat
2009-05-14 12:31 . 2006-05-08 11:19 489410 ----a-w c:\windows\system32\perfh010.dat
2009-05-14 10:53 . 2008-12-19 13:56 884768 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-14 10:53 . 2008-12-19 13:56 6211104 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-14 10:53 . 2008-12-19 13:56 50652 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-14 10:53 . 2008-12-19 13:56 4104 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-14 10:40 . 2007-05-17 08:56 60 ----a-w c:\windows\wpd99.drv
2009-05-06 14:34 . 2008-07-04 08:19 -------- d-----w c:\programmi\Wise Registry Cleaner 3
2009-05-06 14:33 . 2007-05-17 08:52 -------- d-----w c:\programmi\CCleaner
2009-04-29 08:02 . 2007-07-03 16:36 94056 ----a-w c:\documents and settings\Administrator\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-04-16 14:26 . 2007-05-16 08:31 94056 ----a-w c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-04-14 13:47 . 2008-07-02 07:25 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-14 13:45 . 2008-01-28 09:20 -------- d-----w c:\programmi\Polysun4
2009-04-10 09:36 . 2007-05-15 18:23 -------- d-----w c:\programmi\Java
2009-04-09 15:09 . 2007-05-17 09:03 512 -c--a-w c:\windows\WRF.COM
2009-04-06 13:32 . 2008-07-21 08:06 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-07-02 07:25 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-02 09:07 . 2008-10-07 13:18 -------- d-----w c:\programmi\DivX
2009-04-02 09:06 . 2009-04-02 09:06 -------- d-----w c:\programmi\File comuni\DivX Shared
2009-03-24 14:36 . 2009-03-24 14:36 -------- d-----w c:\programmi\VideoLAN
2009-03-19 16:52 . 2009-03-19 16:52 -------- d-----w c:\programmi\Junkers_Solarsimulation_IT
2009-03-09 03:19 . 2008-10-28 14:10 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2006-03-02 01:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-03-02 01:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-03-02 01:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-03-02 01:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-03-02 01:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-03-02 01:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-03-02 01:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-03-02 01:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-03-02 01:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-03-02 01:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2006-03-02 01:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-02-24 19:34 . 2009-02-24 19:34 90112 ----a-w c:\windows\system32\dpl100.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-02-24 19:34 . 2009-02-24 19:34 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-02-24 19:34 . 2009-02-24 19:34 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-02-24 19:34 . 2009-02-24 19:34 684032 ----a-w c:\windows\system32\DivX.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-01-08 344064]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]
"HP Component Manager"="c:\programmi\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HP Software Update"="c:\programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2007-04-27 282624]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-10 201992]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-08-23 16050688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio Office.lnk - c:\programmi\Microsoft Office\Office\OSA.EXE [1997-11-20 51984]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Ricerca rapida.lnk - c:\programmi\Microsoft Office\Office\FINDFAST.EXE [1997-11-20 111376]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 19.29.38 33808]
R1 eusk2par;EUTRON SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [17/05/2007 11.58.53 30656]
R2 CPUSB;CPUsb.Sys driver;c:\windows\system32\drivers\CPUSB.sys [17/05/2007 10.49.10 17080]
R2 cpwnt;cpwnt;c:\windows\system32\drivers\CPWNT.SYS [17/05/2007 10.44.02 21824]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13/03/2008 20.02.46 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25/03/2008 21.07.10 24592]
S2 gupdate1c98869573c45e2;Google Update Service (gupdate1c98869573c45e2);c:\programmi\Google\Update\GoogleUpdate.exe [06/02/2009 16.43.54 133104]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13f9e945-227e-11de-adb0-001a4bc4ea4c}]
\Shell\AutoRun\command - G:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c23095e-092c-11dc-aad2-001a4bc4ea4c}]
\Shell\AutoRun\command - .\run\autorun.exe
\Shell\open\Command - .\run\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c9dec9-08ff-11dc-aad1-001a4bc4ea4c}]
\Shell\Auto\command - Cn911.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca632c4f-0796-11dd-ac15-001a4bc4ea4c}]
\Shell\AutoRun\command - .\run\autorun.exe
\Shell\open\Command - .\run\autorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-14 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-02-06 14:43]

2009-05-14 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-05-14 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-03-16 c:\windows\Tasks\Wise Registry Cleaner 4.job
- c:\programmi\Wise Registry Cleaner 3\WiseRegistryCleaner.exe [2008-07-04 14:51]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/ig?hl=it
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
IE: Aggiungi al banner Blocco pubblicità - c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} - hxxp://www.facebook.com/controls/contactx.dll
.
.
------- Associazioni dei file -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-14 14:38
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-2241011816-1467844852-1500174003-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5e,37,40,17,2c,d1,1b,47,81,06,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5e,37,40,17,2c,d1,1b,47,81,06,27,\
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1040)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(2832)
c:\programmi\Windows Media Player\wmpband.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2009-05-14 14.40.16
ComboFix-quarantined-files.txt 2009-05-14 12:39

Pre-Run: 116.848.939.008 byte disponibili
Post-Run: 116.843.630.592 byte disponibili

201 --- E O F --- 2009-05-13 07:09

Scansione HiJackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.05.10, on 14/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\explorer.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AutoCAD Architecture 2008\acad.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\AdskCleanup.0001
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\File comuni\Autodesk Shared\WSCommCntr1.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Administrator\Documenti\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://download.autodesk.com/esd/mapguide/SP1/ITA/mgaxctrl.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam02.lugano.ch/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5328/mcfscan.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c98869573c45e2) (gupdate1c98869573c45e2) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programmi\File comuni\SureThing Shared\stllssvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

--
End of file - 9868 bytes


Vedete qualcosa di strano??
Grazie mille Wink
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 14 Mag 2009 17:15    Oggetto: Re: Sospetto di virus... Rispondi citando
gwen77 ha scritto:
Vedete qualcosa di strano??

Si:
1) che ti piace far scansioni a caso;
2) copi ed incolli i log al posto di linkarli;
3) e se controllo bene, sono sicuro che trovo anche altro.

Segui questa procedura:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● clicca su Avanti per avviare la scansione
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa MalwareBytes: clicca qui per il download
● esegui una scansione completa del sistema
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Eseguiti tutti i passaggi precendenti:
Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica ed installa Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

allega, in questa sequenza, tutti i log che hai salvato

● SuperAntispyware
● MalwareBytes
● Hijackthis

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il link che verrà rilasciato dopo il caricamento di ogni singolo file.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 14 Mag 2009 18:45    Oggetto: Rispondi citando
Ecco i log:

http://wikisend.com/download/446578/SUPERAntiSpyware Scan Log - 05-14-2009 - 18-23-40.log

http://wikisend.com/download/453150/mbam-log-2009-05-14 (17-16-43).txt

http://wikisend.com/download/472862/hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 15 Mag 2009 09:04    Oggetto: Rispondi citando
Niente virus, neppure l'ombra.

● rilancia Hijacthis e:
spunta la casellina fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
● chiudi tutte le applicazioni aperte
● chiudi tutte le pagine del browser aperte
● in Hijkackthis fixa le voci cliccando su Fixchecked

Queste le voci da fixare:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Poi prosegui in questo modo:

da Installazione Applicazioni, disinstalla:

Adobe Reader
Adobe Flash Player
JavaSun (tutte le versioni eventuamente presenti)

scarica ed installa le versioni aggiornate di:

Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JavaSun: clicca qui per il download

In fase di installazione, ti verrà richiesto di installare la toolbar di Google, non la installare (quindi togli la spunta alla relativa voce).

Una volta installato Adobe Reader lancialo e, attraverso la funzionalità Ricerca aggiornamenti, esegui l'aggiornamento alla release 9.1.1 (l'aggiornamento è indicato con il codice CPSID_49013).

Completati gli aggiornamenti, riavvia il sistema e allega un nuovo log di Hijackthis.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 15 Mag 2009 10:17    Oggetto: Rispondi citando
Grazie della bella notizia e soprattutto dell'aiuto!!

Ho seguito le tue istruzioni e questo è il log aggiornato:
http://wikisend.com/download/477872/hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 15 Mag 2009 12:28    Oggetto: Rispondi citando
Con le stesse modalità di prima, rilancia Hijackthis è fixa queste voci (le 016 te le avevo già indicate prima e non le hai fixate):

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://download.autodesk.com/esd/mapguide/SP1/ITA/mgaxctrl.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam02.lugano.ch/activex/AxisCamControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5328/mcfscan.cab

Poi esegui una scansione completa del sistema con Kaspersky ed allega il log che verrà rilasciato dopo la scansione assieme ad un nuovo log di Hijackthis.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 15 Mag 2009 13:14    Oggetto: Rispondi citando
Buongiorno Riverside.
Bisognerebbe togliere anche questa chiave:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c9dec9-08ff-11dc-aad1-001a4bc4ea4c}]
\Shell\Auto\command - Cn911.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe

E bonificare la chiavetta o l'HD esterno, infettato\a.
Altrimenti in breve tempo, sarà costretto a ricorrere di nuovo al PSV.
Scusa il disturbo.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 15 Mag 2009 13:29    Oggetto: Rispondi citando
R1 ha scritto:
Bisognerebbe togliere anche questa chiave:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c9dec9-08ff-11dc-aad1-001a4bc4ea4c}]
\Shell\Auto\command - Cn911.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe
E bonificare la chiavetta o l'HD esterno, infettato\a.
Altrimenti in breve tempo, sarà costretto a ricorrere di nuovo al PSV.
Scusa il disturbo.

Un passo per volta per piacere: prima voglio vedere il log della scansione con Kaspersky.
R1 ha scritto:
Buongiorno Riverside ...... Scusa il disturbo.

E piantala di essere sempre cosi accondiscendente: da una parte, inizia a darmi fastidio e, dall'altra non cè nulla di cui scusarsi.

P.S.: nel caso in cui (oggi e domani sono parecchio impegnato con il lavoro) non dovessi controllare il log di Kasp, fatelo voi; e proseguite con la disattviazione dell'autorun sulle periferiche esterne, alla scansione di quelle e, inifine, alla rimozione della chiave.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 15 Mag 2009 13:58    Oggetto: Rispondi citando
Buongiorno Riverside.
1) Non è per accondiscienza, solo per educazione.
2)Se per te è un fastidio, ti assicuro che non succederà più.
3)Mi sono permesso di intromettermi solo per questo:
Riverside ha scritto:
Niente virus, neppure l'ombra.


E ti garantisco, che non succederà più che mi intrometta.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 15 Mag 2009 14:14    Oggetto: Rispondi citando
[Edit]: vedi PM.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 15 Mag 2009 16:07    Oggetto: Rispondi citando
Riverside ha scritto:
Con le stesse modalità di prima, rilancia Hijackthis è fixa queste voci (le 016 te le avevo già indicate prima e non le hai fixate)

Non è che non le ho fixate, le 016 che mi avevi indicato erano diverse!!

Ecco i due log:
http://wikisend.com/download/466118/KASPERSKY.txt
http://wikisend.com/download/463050/hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 15 Mag 2009 19:52    Oggetto: Rispondi citando
scarica Panda Research USB Vaccine: clicca qui per il download
non necesità di installazione: è un tool è standalone
● per disattivare l'autorun è sufficiente selezionare l?origine della periferica esterna e cliccare sul tasto Vaccinate computer
● per riattivare l'autorun, basterà riavviare il programma e cliccare sul tasto Remove vaccine

In alternativa:

scarica ed installa TweakUI Powertoy: clicca qui per il download
● lancia il tool
● espandi la sezione My Computer
● espandi la sottosezione Autoplay
● spostati in Types
● togli la spunta alla voce Enable Autoplay for removable drives
● clicca su Apply
● chiudi TweakUI
● da questo momento tutte periferiche esterne non si avvieranno più automaticamente
● per riattivare l'autorun, basta ripetere lo stesso passaggio indicato sopra

[** Nota **]: con Espandi si intende: clicca sul simbolo [+] che trovi a fianco alle voci

Non riabiitare l'autorun fino a quando non sarà certo che le perifiche esterne non siano più infette

Una volta disabilitato l'autorun, esegui una scansione completa delle periferiche esterne in uso (pendrive e/o dischi esterni):
1) con Malwarebytes, dopo averlo aggiornato
2) con Superantispyware, dopo averlo aggiornato
3) con il tuo antivirus
Allega tutti e tre i log
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 18 Mag 2009 11:29    Oggetto: Rispondi citando
Allego i log:

Chiavetta 1
http://wikisend.com/download/437190/L mbam-log-2009-05-18 (09-39-27).txt
http://wikisend.com/download/441034/L SUPERAntiSpyware Scan Log - 05-18-2009 - 10-37-19.log
http://wikisend.com/download/446650/L Kaspersky.txt

Chiavetta 2
http://wikisend.com/download/663216/B mbam-log-2009-05-18 (10-40-45).txt
http://wikisend.com/download/201904/B SUPERAntiSpyware Scan Log - 05-18-2009 - 10-46-54.log
http://wikisend.com/download/760756/B Kaspersky.txt

Comunque l'autorun normalmente lo tengo disattivato per abitudine...
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 18 Mag 2009 11:54    Oggetto: Rispondi citando
> Start
> Cerca
> esegui una ricerca di questo file: Cn911.exe
> rimuovi tutto ciò che viene rilevato
La stessa ricerca, eseguila anche a livello Regedit ed elimina tutte le eventuali chiavi di riferimento a Cn911.exe
Al termine riavvia ed allega un nuovo log di Hijackthis.
Ovviamente, fammi sapere se file e chiavi in questione sono state rilevate.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 18 Mag 2009 12:33    Oggetto: Rispondi citando
Il file cn911.exe non l'ho trovato
Invece ho trovato due chiavi nel registro:
- HKCU/software/microsoft/windows/currentversion/explorer/mountpoints2/{83c9dec9-08ff-11dc-aad1-001a4bc4ea4}/shell/auto/command
- HKCU/software/microsoft/windows/currentversion/explorer/mountpoints2/{83c9dec9-08ff-11dc-aad1-001a4bc4ea4}/shell/autorun/command

E questo è il log aggiornato
http://wikisend.com/download/474978/hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 18 Mag 2009 12:52    Oggetto: Rispondi citando
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\AdskCleanup.0001
cercalo ed eliminalo.

Rilancia Hijackthis e fixa queste voci:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

Citazione:
Invece ho trovato due chiavi nel registro:
- HKCU/software/microsoft/windows/currentversion/explorer/mountpoints2/{83c9dec9-08ff-11dc-aad1-001a4bc4ea4}/shell/auto/command
- HKCU/software/microsoft/windows/currentversion/explorer/mountpoints2/{83c9dec9-08ff-11dc-aad1-001a4bc4ea4}/shell/autorun/command

Le hai eliminate?.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 18 Mag 2009 14:33    Oggetto: Rispondi citando
Le due chiavi le ho cancellate, ho cancellato il file adskcleanup.0001 e fixato i due 09.

Devo rilanciare Hijackthis?
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
MessaggioInviato: 18 Mag 2009 16:22    Oggetto: Rispondi citando
No, direi che, se non riscontri problemi, abbiamo concluso.
Ti suggerisco di eseguire uno scandisk ed un defrag.
Per il resto, puoi cestinare Norman e gli eventuali altri tool utilizzati ed i log salvati che hai pubblicato.
Inoltre:
1) terminata la navigazione, prima di spegnere il Computer, esegui, sempre una Pulizia normale con CCleaner; la pulizia del Registro eseguila ogni 15 giorni;
Quando ti verrà segnalato il rilascio di una versione aggiornata, procedi in questo modo:
accetta la segnalazione; verrai indirizzato al sito di CCleaner
● scarica e salva sul desktop la nuova versione disponibile
● chiudi completamente CCleaner
● senza disinstallare la vecchia versione, installa la nuova che andrà a sovrascrivere quella già precedente
2) Esegui una scansione completa con MalwareBytes e con Superantispyware, almeno una volta la settimana
● ricorda, prima di eseguire la scansione, di aggiornare entrambi i programmi.
E' tutto.
Top
Profilo Invia messaggio privato
gwen77
Mortale adepto
Mortale adepto


Registrato: 01/07/08 10:43
Messaggi: 39
MessaggioInviato: 18 Mag 2009 16:45    Oggetto: Rispondi
Adesso mi sembra che sia tutto a posto!!
Continuerò seguendo i tuoi consigli e ti ringrazio per il prezioso aiuto!!!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi