Precedente :: Successivo |
Autore |
Messaggio |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 28 Giu 2010 15:23 Oggetto: *Avira e TR/buzus.enth |
|
|
Buongiorno a tutti cercando di seguire le regole ed i consigli su come scrivere un messaggio di aiuto vi dico cosa mi è successo.
Ho un notebook con windows xp. Nel comprarlo mi hanno dato 3 mesi di Mcafee gratuiti. La protezione scadeva ad Aprile.
Avendo la necessità di riutilizzarlo per lavoro ho fatto l'errore di controllare la mia posta ed aprire un paio di mail.
Nell'accenderlo il giorno dopo con l'intento di installare Avira mi compariva la seguente frase :
Sottosistema MS dos a 16 bit
La cpu ntvdm ha incontrato un'istruzione non valida
cs: of78 ip:01ac op:63617469
e mi dava 2 opzioni : chiudi o ignora... ma qualunque scelta facessi mi ricompariva di nuovo.
Ho installato tra mille difficoltà Avira e, dopo aver trovato 32 file infetti circa mi dice di aver individuato : TR/buzus.enth ne Tr/Atraps.gen2
Anche qui qualunque scelta faccio con Avira si ripresentano all'avvio di windows. |
|
Top |
|
 |
lorenaino Eroe in grazia degli dei


Registrato: 14/02/09 11:44 Messaggi: 147 Residenza: Sasso Marconi
|
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 28 Giu 2010 22:28 Oggetto: |
|
|
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Versione database: 4251
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
28/06/2010 22.23.10
mbam-log-2010-06-28 (22-23-10).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 170729
Tempo trascorso: 1 ore, 47 minuti, 48 secondi
Processi infetti in memoria: 5
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 5
Voci infette nei dati di registro: 2
Cartelle infette: 0
File infetti: 50
Processi infetti in memoria:
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv011277560548.exe (Trojan.Dropper) -> No action taken.
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft(r) system manager (Backdoor.IRCBot) -> No action taken.
Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv011277560548.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM21.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM18.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM19.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1A.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1D.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM22.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM27.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM29.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM2B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM2E.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM30.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM32.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM35.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM37.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM39.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM3B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM40.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM42.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM49.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM4D.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM83.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM90.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TMA4.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TMC0.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temporary Internet Files\Content.IE5\S3W1AFMZ\1[1].exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0009559.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0010537.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0010569.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP24\A0011839.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP25\A0011858.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP25\A0011868.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0012223.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013207.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013215.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013223.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv001277561158.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv121277560280.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv141277561219.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv321277721712.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv491277721837.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277560454.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv781277648319.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
C:\Documents and Settings\Carmelopap\Dati applicazioni\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken. |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 28 Giu 2010 22:29 Oggetto: |
|
|
ok...grazie mille... speriamo di riuscire a risolvere il tutto... |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 29 Giu 2010 22:32 Oggetto: |
|
|
questo è quello che mi dice Hijack...
ho fatto tutto quello che mi hai detto... ma il problema persiste...
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.30.31, on 29/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Launch Manager\LManager.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
C:\Programmi\McAfee.com\Agent\mcagent.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programmi\Acer\Acer VCM\AcerVCM.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\WINDOWS\system32\021c9a.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\DOCUME~1\CARMEL~1\IMPOST~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\McAfee\MSK\MskSrver.exe
C:\Programmi\Acer\Acer VCM\RS_Service.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\DOCUME~1\CARMEL~1\IMPOST~1\Temp\Directory temporanea 2 per HJT.zip\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567691
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
R3 - URLSearchHook: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O2 - BHO: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [NotificationCenterLauncher] C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programmi\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\021c9a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProductReg] C:\Programmi\Acer\WR_PopUp\ProductReg.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programmi\Acer\Acer VCM\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-SPAM Service (MSK80Service) - McAfee, Inc. - C:\Programmi\McAfee\MSK\MskSrver.exe
O23 - Service: Asset Management Daemon (ouevc7pugdoblga) - Unknown owner - C:\WINDOWS\system32\poozaz.exe (file missing)
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Programmi\Acer\Acer VCM\RS_Service.exe
--
End of file - 12386 bytes |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 29 Giu 2010 23:05 Oggetto: |
|
|
Vai in "installazione Applicazioni, e rimuovi mcafee.
Scarica ed esegui, questo strumento per rimuovere i "rimasugli" di McAfee:
link
Riavvia il pc.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
Citazione: | R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567691
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [NotificationCenterLauncher] C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
O4 - HKCU\..\Run: [ProductReg] C:\Programmi\Acer\WR_PopUp\ProductReg.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O23 - Service: Asset Management Daemon (ouevc7pugdoblga) - Unknown owner - C:\WINDOWS\system32\poozaz.exe (file missing) |
Fai una pulizia con CCleaner. (registro compreso.
Riavvia il pc.
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Carica i log di Combofix,su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link
Per essere più chiaro:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 30 Giu 2010 01:09 Oggetto: |
|
|
allora... penso di aver eseguito tutto alla lettera... grazie per la chiarezza.
questo è il file
logp.txt |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 30 Giu 2010 09:07 Oggetto: |
|
|
Stamattina ho acceso il netbook e non mi ha dato nessun problema...
sembrerebbe tutto risolto...
aspetto vostre notizie di conferma... e soprattutto... grazie mille.  |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Giu 2010 13:10 Oggetto: |
|
|
Ciao.
C'è ancora da togliere qualcosa:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | KillAll::
File::
c:\docume~1\CARMEL~1\IMPOST~1\Temp\qexbzwx.sys
c:\docume~1\CARMEL~1\IMPOST~1\Temp\qgwlhhezzsazrao.sys
c:\windows\system32\poozaz.exe
c:\windows\system32\204c1d.exe
c:\windows\system32\021c9a.exe
Driver::
nrrzxptxrgdyl
opatgpxtbsfn
ouevc7pugdoblga |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix. |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 30 Giu 2010 16:10 Oggetto: |
|
|
al riavvio di windows dopo aver fatto la procedura che mi hai detto mi è riapparso il segnale di avira con un virus...
il log è
log.txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Giu 2010 22:34 Oggetto: |
|
|
Ciao.
Puoi postarmi il percorso di questo virus che ti ha segnalato Avira ?
Adesso il log di Combofix, è a posto. |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 30 Giu 2010 23:18 Oggetto: |
|
|
Ciao...
adesso l'ho riacceso e non mi da nessun virus... boh...
se così fosse il problema è risolto?
se si non saprei come ringraziarti...  |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Giu 2010 23:24 Oggetto: |
|
|
Per me il pc, risulta pulito.
E, se il pc funziona bene, e Avira non rileva niente, questo rafforza la mia convinzione.
Un consiglio che posso darti, è quello di disistallare Messenger Plus Live Italy, e di controllare in Installazione Applicazioni, se trovi un programma chiamato "Favorit".
Se lo vedi rimuovilo.
Puliamo le cartelle Temp:
Scarica TFC by OldTimer sul desktop
link
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.
Segui le istruzioni di questo topic per rimuovere combofix:
http://forum.zeusnews.com/viewtopic.php?t=47670 |
|
Top |
|
 |
thedoctor Mortale devoto

Registrato: 28/06/10 14:58 Messaggi: 9
|
Inviato: 02 Lug 2010 12:33 Oggetto: |
|
|
perfetto... non i da più nessun problema e ieri l'ho pure utilizzato per lavoro...
grazie mille.
per altri problemini ad un altro pc devo creare una nuova discussione? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 02 Lug 2010 13:15 Oggetto: |
|
|
thedoctor ha scritto: | per altri problemini ad un altro pc devo creare una nuova discussione? |
Sì, apri un nuovo topic.
Ciao.  |
|
Top |
|
 |
|