Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
*Avira e TR/buzus.enth
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 28 Giu 2010 15:23    Oggetto: *Avira e TR/buzus.enth Rispondi citando
Buongiorno a tutti cercando di seguire le regole ed i consigli su come scrivere un messaggio di aiuto vi dico cosa mi è successo.

Ho un notebook con windows xp. Nel comprarlo mi hanno dato 3 mesi di Mcafee gratuiti. La protezione scadeva ad Aprile.
Avendo la necessità di riutilizzarlo per lavoro ho fatto l'errore di controllare la mia posta ed aprire un paio di mail.
Nell'accenderlo il giorno dopo con l'intento di installare Avira mi compariva la seguente frase :
Sottosistema MS dos a 16 bit
La cpu ntvdm ha incontrato un'istruzione non valida
cs: of78 ip:01ac op:63617469
e mi dava 2 opzioni : chiudi o ignora... ma qualunque scelta facessi mi ricompariva di nuovo.
Ho installato tra mille difficoltà Avira e, dopo aver trovato 32 file infetti circa mi dice di aver individuato : TR/buzus.enth ne Tr/Atraps.gen2

Anche qui qualunque scelta faccio con Avira si ripresentano all'avvio di windows.
Top
Profilo Invia messaggio privato
lorenaino
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 14/02/09 11:44
Messaggi: 147
Residenza: Sasso Marconi
MessaggioInviato: 28 Giu 2010 18:48    Oggetto: Rispondi citando
ciao,in attesa degli esperti prova a fare una scansione completa con malwarebytes,combofix e posta i log che rilasceranno:

http://forum.zeusnews.com/viewtopic.php?t=45222

http://forum.zeusnews.com/viewtopic.php?t=45224

quando usi combofix disattiva momentaneamente il tuo antivirus
Wink
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 28 Giu 2010 22:28    Oggetto: Rispondi citando
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4251

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/06/2010 22.23.10
mbam-log-2010-06-28 (22-23-10).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 170729
Tempo trascorso: 1 ore, 47 minuti, 48 secondi

Processi infetti in memoria: 5
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 5
Voci infette nei dati di registro: 2
Cartelle infette: 0
File infetti: 50

Processi infetti in memoria:
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv011277560548.exe (Trojan.Dropper) -> No action taken.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft(r) system manager (Backdoor.IRCBot) -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv011277560548.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM21.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM18.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM19.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1A.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1D.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM1F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM22.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM27.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM29.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM2B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM2E.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM30.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM32.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM35.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM37.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM39.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM3B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM40.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM42.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM49.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM4D.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM83.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TM90.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TMA4.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temp\~TMC0.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Carmelopap\Impostazioni locali\Temporary Internet Files\Content.IE5\S3W1AFMZ\1[1].exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0009559.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0010537.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP23\A0010569.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP24\A0011839.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP25\A0011858.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP25\A0011868.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0012223.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013207.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013215.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{14839C84-3577-4FCA-A0F0-047C794CD776}\RP26\A0013223.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv001277561158.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv121277560280.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv141277561219.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv321277721712.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv491277721837.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277560454.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv781277648319.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
C:\Documents and Settings\Carmelopap\Dati applicazioni\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 28 Giu 2010 22:29    Oggetto: Rispondi citando
ok...grazie mille... speriamo di riuscire a risolvere il tutto...
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 28 Giu 2010 23:17    Oggetto: Rispondi citando
Ciao. Ciao

Elimina i file infetti trovati da Malwarebytes.

Disattiva il ripristino configurazione di sistema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner (fai anche una pulizia del registro)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Svuota il cestino

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Riavvia il pc.

Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

N.B:
Se hai fatto la scansione con Combofix, posta il log.
Se non l'hai ancora eseguita, esegui prima le indicazioni che ti ho dato, e poi esegui la scansione con Combofix.
E in ogni caso eseguile.
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 29 Giu 2010 22:32    Oggetto: Rispondi citando
questo è quello che mi dice Hijack...
ho fatto tutto quello che mi hai detto... ma il problema persiste...


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.30.31, on 29/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Launch Manager\LManager.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
C:\Programmi\McAfee.com\Agent\mcagent.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programmi\Acer\Acer VCM\AcerVCM.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\WINDOWS\system32\021c9a.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\DOCUME~1\CARMEL~1\IMPOST~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\McAfee\MSK\MskSrver.exe
C:\Programmi\Acer\Acer VCM\RS_Service.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\DOCUME~1\CARMEL~1\IMPOST~1\Temp\Directory temporanea 2 per HJT.zip\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567691
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&s=0&o=xph&d=0110&m=ao531h
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
R3 - URLSearchHook: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O2 - BHO: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - C:\Programmi\Messenger_Plus_Live_Italy\tbMess.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [NotificationCenterLauncher] C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programmi\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\021c9a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProductReg] C:\Programmi\Acer\WR_PopUp\ProductReg.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programmi\Acer\Acer VCM\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-SPAM Service (MSK80Service) - McAfee, Inc. - C:\Programmi\McAfee\MSK\MskSrver.exe
O23 - Service: Asset Management Daemon (ouevc7pugdoblga) - Unknown owner - C:\WINDOWS\system32\poozaz.exe (file missing)
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Programmi\Acer\Acer VCM\RS_Service.exe

--
End of file - 12386 bytes
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 29 Giu 2010 23:05    Oggetto: Rispondi citando
Vai in "installazione Applicazioni, e rimuovi mcafee.
Scarica ed esegui, questo strumento per rimuovere i "rimasugli" di McAfee:
link

Riavvia il pc.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

Citazione:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567691
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [NotificationCenterLauncher] C:\Programmi\Acer\Acer eRecovery Management\NotificationLauncher.exe
O4 - HKCU\..\Run: [ProductReg] C:\Programmi\Acer\WR_PopUp\ProductReg.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O23 - Service: Asset Management Daemon (ouevc7pugdoblga) - Unknown owner - C:\WINDOWS\system32\poozaz.exe (file missing)


Fai una pulizia con CCleaner. (registro compreso.

Riavvia il pc.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Carica i log di Combofix,su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link
Per essere più chiaro:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 30 Giu 2010 01:09    Oggetto: Rispondi citando
allora... penso di aver eseguito tutto alla lettera... grazie per la chiarezza.

questo è il file
logp.txt
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 30 Giu 2010 09:07    Oggetto: Rispondi citando
Stamattina ho acceso il netbook e non mi ha dato nessun problema...
sembrerebbe tutto risolto... Razz

aspetto vostre notizie di conferma... e soprattutto... grazie mille. Very Happy Very Happy Very Happy
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 30 Giu 2010 13:10    Oggetto: Rispondi citando
Ciao.
C'è ancora da togliere qualcosa:

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
KillAll::

File::
c:\docume~1\CARMEL~1\IMPOST~1\Temp\qexbzwx.sys
c:\docume~1\CARMEL~1\IMPOST~1\Temp\qgwlhhezzsazrao.sys
c:\windows\system32\poozaz.exe
c:\windows\system32\204c1d.exe
c:\windows\system32\021c9a.exe

Driver::
nrrzxptxrgdyl
opatgpxtbsfn
ouevc7pugdoblga


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 30 Giu 2010 16:10    Oggetto: Rispondi citando
al riavvio di windows dopo aver fatto la procedura che mi hai detto mi è riapparso il segnale di avira con un virus...
il log è
log.txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 30 Giu 2010 22:34    Oggetto: Rispondi citando
Ciao.
Puoi postarmi il percorso di questo virus che ti ha segnalato Avira ?
Adesso il log di Combofix, è a posto.
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 30 Giu 2010 23:18    Oggetto: Rispondi citando
Ciao...
adesso l'ho riacceso e non mi da nessun virus... boh...
se così fosse il problema è risolto?
se si non saprei come ringraziarti... Very Happy Very Happy
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 30 Giu 2010 23:24    Oggetto: Rispondi citando
Per me il pc, risulta pulito.
E, se il pc funziona bene, e Avira non rileva niente, questo rafforza la mia convinzione.

Un consiglio che posso darti, è quello di disistallare Messenger Plus Live Italy, e di controllare in Installazione Applicazioni, se trovi un programma chiamato "Favorit".
Se lo vedi rimuovilo.

Puliamo le cartelle Temp:
Scarica TFC by OldTimer sul desktop
link
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

Segui le istruzioni di questo topic per rimuovere combofix:
http://forum.zeusnews.com/viewtopic.php?t=47670
Top
Profilo Invia messaggio privato
thedoctor
Mortale devoto
Mortale devoto


Registrato: 28/06/10 14:58
Messaggi: 9
MessaggioInviato: 02 Lug 2010 12:33    Oggetto: Rispondi citando
perfetto... non i da più nessun problema e ieri l'ho pure utilizzato per lavoro...
grazie mille. Very Happy Very Happy
per altri problemini ad un altro pc devo creare una nuova discussione?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 02 Lug 2010 13:15    Oggetto: Rispondi
thedoctor ha scritto:
per altri problemini ad un altro pc devo creare una nuova discussione?

Sì, apri un nuovo topic.
Ciao. Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi