Olimpo Informatico

[LuisPiz]

Salve a tutti,
scusate se apro un nuovo thread, ho cercato un po' nel forum ma nn sapevo dove postare.

Da una settimana avevo strani messaggi di fake alert sul pc, accompagnati dall'apertura di chat, banner e reindirizzamenti su stranissimi siti (addirittura uno sullo sbiancamento anale!!!). tutto ciò succedeva sia con explorer che con mozilla.
Ho installato combofix e seguito le istruzioni, disinstallando, per sicurezza il mio antivirus.

Qui c'è il log creato da combo fix:

ComboFix 09-06-26.02 - luigi 28/06/2009 12.09.23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1022.681 [GMT 2:00]
Eseguito da: c:\documents and settings\luigi\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\sys
c:\programmi\sys\sys.dll
c:\programmi\sys\sys.sys
c:\windows\ld11.exe
c:\windows\pp10.exe

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYS
-------\Legacy_SYSDRV
-------\Service_sys
-------\Service_sysdrv


((((((((((((((((((((((((( Files Creati Da 2009-05-28 al 2009-06-28 )))))))))))))))))))))))))))))))))))
.

2009-06-27 18:58 . 2009-06-27 19:51 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Yahoo! Companion
2009-06-27 18:58 . 2009-06-27 18:58 -------- d-----w- c:\documents and settings\luigi\Dati applicazioni\Yahoo!
2009-06-27 18:58 . 2009-06-27 18:58 -------- d-----w- c:\programmi\Yahoo!
2009-06-27 18:57 . 2009-06-27 18:58 -------- d-----w- c:\programmi\CCleaner
2009-06-27 12:58 . 2009-06-27 13:18 -------- d-----w- c:\windows\BDOSCAN8
2009-06-26 09:56 . 2009-06-26 09:56 2 ----a-w- c:\windows\010112010146118114.dat
2009-06-26 09:56 . 2009-06-26 09:56 2 ----a-w- c:\windows\0101120101465749.dat
2009-06-26 09:56 . 2009-06-26 09:56 2 ----a-w- c:\windows\0101120101465652.dat
2009-06-23 23:45 . 2003-11-04 13:11 159744 ----a-w- c:\windows\system32\lfpng13n.dll
2009-06-23 23:45 . 2003-11-04 13:10 69632 ----a-w- c:\windows\system32\lfgif13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 462848 ----a-w- c:\windows\system32\ltkrn13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 450560 ----a-w- c:\windows\system32\ltimg13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 299008 ----a-w- c:\windows\system32\ltdis13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 163840 ----a-w- c:\windows\system32\ltfil13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 57344 ----a-w- c:\windows\system32\lfbmp13n.dll
2009-06-23 23:45 . 2004-05-14 14:53 401408 ----a-w- c:\windows\system32\lfcmp13n.dll
2009-06-23 23:45 . 2004-01-12 00:09 206336 ----a-w- c:\windows\system32\ltefx13n.dll
2009-06-20 08:44 . 2009-06-20 08:44 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-06-19 23:36 . 2009-06-19 23:36 -------- d-sh--w- c:\documents and settings\luigi\IECompatCache
2009-06-19 23:34 . 2009-06-19 23:34 -------- d-sh--w- c:\documents and settings\luigi\PrivacIE
2009-06-19 23:31 . 2009-06-19 23:31 -------- d-sh--w- c:\documents and settings\luigi\IETldCache
2009-06-19 23:12 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-19 23:12 . 2009-04-30 21:13 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-19 23:11 . 2009-06-19 23:11 -------- d-----w- c:\windows\ie8updates
2009-06-19 23:10 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-19 23:07 . 2009-06-19 23:10 -------- dc-h--w- c:\windows\ie8
2009-06-13 23:20 . 2009-06-13 23:20 -------- d-----w- c:\documents and settings\luigi\Dati applicazioni\Meridian93
2009-06-13 23:20 . 2009-06-15 21:59 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-06-13 23:18 . 2009-06-13 23:27 -------- d-----w- c:\programmi\MysteryofUnicornCastle_at
2009-06-12 21:30 . 2009-06-12 21:30 -------- d-----w- c:\programmi\TheFogFall_at
2009-06-12 13:07 . 2009-06-12 13:08 -------- d-----w- c:\programmi\Tennis Elbow 2006
2009-06-11 09:40 . 2009-06-12 08:55 -------- d-----w- c:\programmi\Tennis Elbow 2009

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-28 10:02 . 2008-04-27 10:16 -------- d-----w- c:\documents and settings\luigi\Dati applicazioni\OpenOffice.org2
2009-06-28 10:01 . 2007-09-28 19:37 -------- d-----w- c:\programmi\File comuni\Symantec Shared
2009-06-28 09:59 . 2008-05-25 22:27 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Symantec
2009-06-13 22:26 . 2008-07-04 14:17 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-05-28 11:17 . 2009-05-28 11:17 1156 ----a-w- c:\windows\mozver.dat
2009-05-27 23:22 . 2009-05-27 23:22 -------- d-----w- c:\documents and settings\luigi\Dati applicazioni\OutSoft
2009-05-18 23:10 . 2009-05-18 23:10 -------- d-----w- c:\programmi\Microsoft Office Outlook Connector
2009-05-18 23:10 . 2008-07-01 12:57 -------- d-----w- c:\programmi\Windows Live
2009-05-18 23:09 . 2009-05-18 23:09 -------- d-----w- c:\programmi\Microsoft SQL Server Compact Edition
2009-05-18 23:05 . 2009-05-18 23:05 -------- d-----w- c:\programmi\Microsoft
2009-05-18 23:05 . 2009-05-18 23:05 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-05-18 22:56 . 2009-05-18 22:56 -------- d-----w- c:\programmi\File comuni\Windows Live
2009-05-13 05:02 . 2004-08-19 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:32 . 2004-08-19 12:00 347648 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 09:16 . 2009-05-05 09:13 -------- d-----w- c:\programmi\eMule
2009-05-03 09:12 . 2009-05-03 09:12 -------- d-----w- c:\programmi\vixy.net
2009-04-21 09:11 . 2004-08-19 12:00 85306 ----a-w- c:\windows\system32\perfc010.dat
2009-04-21 09:11 . 2004-08-19 12:00 492454 ----a-w- c:\windows\system32\perfh010.dat
2009-04-21 09:07 . 2009-04-21 08:36 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2009-04-19 19:47 . 2004-08-19 12:00 1847168 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:52 . 2004-08-19 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2004-03-11 11:27 . 2007-09-29 00:42 40960 ----a-w- c:\programmi\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2007-09-30 286720]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SymLnch"="c:\documents and settings\luigi\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Support\SymLnch\SymLnch.exe" [2007-08-26 687976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\luigi\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.4.lnk - c:\programmi\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sys

R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [28/09/2007 21.44.41 59338]
R3 TaurusUsb;ADSL Modem USB Service 1.09a;c:\windows\system32\drivers\torususb.sys [28/09/2007 21.44.41 527980]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programmi\NOS\bin\getPlus_HelperSvc.exe [19/03/2009 18.32.28 33176]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-06-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-06-24 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-06-28 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-updateMgr - c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = localhost
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\luigi\Dati applicazioni\Mozilla\Firefox\Profiles\g8heqa33.default\
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-28 12:18
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(796)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1212)
c:\windows\system32\WININET.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\programmi\OpenOffice.org 2.4\program\soffice.exe
c:\programmi\OpenOffice.org 2.4\program\soffice.bin
c:\programmi\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Ora fine scansione: 2009-06-28 12.22.08 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-06-28 10:22

Pre-Run: 105.122.099.200 byte disponibili
Post-Run: 105.484.988.416 byte disponibili

177 --- E O F --- 2009-06-19 23:14


E qui uno aggiornarto di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.33.23, on 28/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\OpenOffice.org 2.4\program\soffice.exe
C:\Programmi\OpenOffice.org 2.4\program\soffice.BIN
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Microsoft Office\Office12\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [SymLnch] "C:\Documents and Settings\luigi\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Support\SymLnch\SymLnch.exe" "C:\Documents and Settings\luigi\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Setup.exe" "/REALUPREBOOT /temp /patched"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {8874C604-6939-4483-9BBA-45E72CA716BA} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208772467671
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://igloader.com/download/igloader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3D7F37-3963-4FA7-BB13-36D4A813A04C}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

--
End of file - 7259 bytes


Che ne pensate?

Grazie in anticipo

Ciao a tutti

[lorenaino]

ciao,devi postarlo in pronto soccorso virus e non in sicurezza.

[LuisPiz]

[bdoriano]

Ciao LuisPiz,

ho spostato il tuo thread nell'area corretta.

Vedo che ComboFix ha eliminato diversi ospiti indesiderati dal tuo pc.

Per cortesia, procedi con queste altre operazioni:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti al Caffé dell'Olimpo.

[LuisPiz]

grazie doriano. appena ho un po' di tempo faccio quello che hai postato. Cmq sembra andare già meglio. 'sto combofix è una potenza questo grazie ai consigli che avete postato sul forum! Grazie ancora

[bdoriano]

Mi fa piacere sapere che il pc sia tornato in forma, ma non adagiarti sugli allori.

Appena puoi, fai quelle operazioni così possiamo essere sicuri che sia tutto a posto.

[LuisPiz]

[R16]

[LuisPiz]

[R16]

Ciao.
Vediamo se lo rendiamo un pò più scattante....
Vai in Installazione Applicazioni, e rimuovi TUTTE le Tolbar che trovi.
Ho visto nel log, che usi la versione vecchia di AVG8
E' uscita da tempo la versione AVG9.

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home
R3 - URLSearchHook: (no name) - *CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyBa.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyBa.dll (file missing)
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Programmi\myBabylon_English\tbmyBa.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.E XE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programmi\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {8874C604-6939-4483-9BBA-45E72CA716BA} - (no file) (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/ qtplugin.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1208772467671
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://igloader.com/download/igloader.CAB
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

N.B:
Se la voce 023 non si elimina, prova in Modalità provvisoria.
Fai una pulizia con CCleaner.(registro compreso)
Riavvia il pc.

Da Installazione Applicazioni, disinstalla le versioni installate di Abobe Reader, Adobe Flash Player (comprese quelle marcate Macromedia) e Javasun ( (tutte le versioni eventuamente presenti) .

Dopo la disinstallazione, installa le versioni aggiornate di:
Adobe Reader:
link
Una volta installato Adobe Reader lancialo.
nella barra degli strumenti clicca sul ?
clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.

Per aggiornare FlashPlayer segui questa procedura:
Scarica il programma di disinstallazione di FlashPlayer
link

Scarica l'ultima versione di FlashPlayer per IE
link

Scarica l'ultima versione di FlashPlayer non per IE
link
Scarica l'ultima versione di Java:
link

Se in fase di installazione, ti venisse rchiesta l'installazione di qualche Toolbar, non la installare.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only) clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Fai uno ScanDisk , e una deframmentazione del HD.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Forse ho esagerato a darti tutto questo lavoro, in un'unico post, ma con calma, dovresti farcela.

[LuisPiz]

[R16]

Ciao LuisPiz
1) Sì, metti la spunta in ambedue i tag.
2)Puoi attivare il ripristino configurazione di sistema.
3) L'ultima versione di Combofix, è ulteriormente migliorata.
Adesso ripara anche l'MBR. (Master Boot Record), vedremo più avanti, se lo ripara parzialmente, oppure totalmente.
4) Tranquillo, che se passo per Torino o dintorni, vengo a reclamare la birra.
Ciao!