Olimpo Informatico

[danielito]

Ciao ragazzi, ho alcuni problemi sul mio notebook, oltre ai due troian che mi ha rilevato nel titolo sia avira che superantispyware, e il centro di sicurezza pc che mi segnala sempre che non ho installato antivirus non riesco ad aggiornare, pur essendo amministratore i driver della scheda video ati perchè mi dice che non lo sono amministratore e vedo lo schermo spesso con qualità infima. come posso risolvere il problema.Grazie. allego post di hijackthis
hijackthis.log
quello di superantispayware nn riesco a postarlo perchè non ci sono in elenco i log

[bdoriano]

Ciao danielito,

qual'è il nome del trojan che viene rilevato da Avira e da SuperAntiSpyware?

Per recuperare il log di SuperAntiSpyware, procedi così:

• Avvia SuperAntiSpyware
  
• Clicca Preferences...
  
• Clicca Statistics/Logs
  
• Clicca View log...
  
• Ti si apre il Blocco note con il contenuto del file
  
• Salvalo con un nuovo nome sul desktop
  
• I logs caricali su uno dei servizi indicato qui.

Fai questa scansione con OTL <-- IMPORTANTE

[danielito]

Grazie bdoriano, purtroppo otl non riesco ad utilizzarlo, nell'immagine riporto errore


Uploaded with ImageShack.us

avira mi ha rilevato i due file in oggetto di discussione come TR/crypt.XPACK.Gen8

ora sto riscansionando con superantispyware, al max prima di sera posto il log.

grazie 1000!

[bdoriano]

L'immagine che hai postato è troppo piccola e non riesco a leggere il messaggio di errore.

Segui le istruzioni di questo topic per postare il log di combofix.

[danielito]

Grazie bdoriano, posto ora il log di superantispyware
SUPERAntiSpyware Scan Log - 05-30-2012 - 19-31-03.log
il log di combofix
log Combofix.txt
e l'errore di otl


Uploaded with ImageShack.us
il nome del troian in SAS è Trojan.Agent/Gen-Nebuler
Grazie x l'aiuto

[bdoriano]

OTL segnala un problema di accesso alle informazioni sulle partizioni.
Il log di SuperAntiSpyware rileva solo dei cookies.
Combofix ha eliminato un adware e vedo almeno una voce molto sospetta.

Prima di Avira utilizzavi Avast?

• Scarica TDSSKiller.zip e salvalo sul desktop
  
• Apri il file appena scaricato ed estrai il file TDSSKiller.exe
  
• Avvia TDSSKiller.exe
  
• Clicca Change parameters
  
• metti il segno di spunta a Detect TDLFS file system
  
• clicca OK
  
• Clicca Start scan e attendi pazientemente la fine dei lavori
  
• Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
  
• Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
  
• Il log viene creato nella cartella principale del disco C:
  Es.: C:\TDSSKiller.2.7.xx_gg.mm.2012_hh.mm.ss_log.txt
  
• Posta il log creato, secondo le solite modalità

[danielito]

Si, bdoriano, prima di avira utilizzavo avast...
posto il log di tdss killer
TDSSKiller.2.7.36.0_30.05.2012_21.08.09_log.txt
in attesa di preziosi consigli, ringrazio. sei un grande nell'aiutare gli altri

[bdoriano]

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[danielito]

ciao bdoriano, purtroppo dopo aver atteso per ben sei ore combofix continua ad essere bloccato sulla schermata di ci vorranno 10 minuti, o se molto infetto il tempo potrebbe raddoppiare. l'unica operazione fatta è stata di mangiare il cfscript...poi più nulla.è normale aspettare delle ore e dev o ripetere l'operazione oppure devo-posso fare altro?grazie

[bdoriano]

No, direi che non è normale che ti faccia aspettare così tanto.

Riduciamo le operazioni da fare...

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[danielito]

Ciao, purtroppo si è verificato lo stesso problema di ieri, dopo un'attesa di 8 ore nella notte, il pc continuava ad essere bloccato sulla schermata di attesa di 10 minuti, se molto infetto potrebbe raddoppiare. con sfscript non ne vuole sapere.
combofix in se invece funziona, se servisse ti allego file della scansione serale di ieri
log.txt
grazie!

[bdoriano]

Veramente strano...

Vediamo di procedere in modo diverso.

• Scarica questo programma e salvalo sul desktop
  
• Avvia il pc in Modalità provvisoria
  
• Esegui il programma aswclear.exe, scaricato poco prima
  
• Clicca Uninstall
  
• Chiudi il programma, ti chiederà di riavviare il pc

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[danielito]

Ciao bdoriano, intanto grazie!
ho proceduto come mi hai detto...in modalità provvisoria aswclear.exe non compare, ho lavorato in modalità tradizionale.
Ho utilizzato CFScript.txt per SkipFix, stavolta ha funzionato...
ti posto il log di combofix aggiornato...
log.txt
la scansione con dds.scr, subito dopo la schermata che posto sotto...scompare e purtroppo non da nessun report...

sono ora riuscito ad ottenerli dopo alcuni tentativi, li riporto sotto
dds.txt
attach.txt

[bdoriano]

Direi di fare una scansione con un CD live.
Segui le istruzioni di questa discussione (anche se non è aggiornata).

[danielito]

posto il log del cd-live di kaspersky che ha rilevato Win32 Generic, purtroppo non riesco a caricare il log

Objects Scan: completed <1 minute ago (events: 22, objects: 1180929, time: 07:24:21)
6/2/12 4:17 AM Task completed
6/2/12 4:16 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/2/12 4:13 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 11:17 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack Postponed
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:30 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/JVM/jre-6u3-windows-i586-p.exe/data0000.res/Data1.cab/core2.zip Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar/ArchiCAD 13 - a 32 bit in Italiano/archive.jar Read error
6/1/12 10:27 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/archive.jar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Shakira - She Wolf (CDM-2009).rar Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar/Black Eyed Peas -The E.N.D/101 Black Eyed Peas - Boom Boom Pow.mp3 Read error
6/1/12 10:23 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 8:52 PM Task started

[bdoriano]

Ok.

Disabilita il ripristino di sistema

Vediamo se ora Combofix è più collaborativo.
Scarica la nuova versione di Combofix e effettua una nuova scansione.
Posta il log al solito modo.

[danielito]

Posto il log di Combofix... come prima non funziana ne wikisend nè wikifortio
lo carico per intero sotto ...ho provato anche con cfscript ma nulla come prima

ComboFix 12-06-02.02 - Windows 02/06/2012 10.07.12.7.2 - x86
Eseguito da: c:\documents and settings\Windows\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-02 al 2012-06-02 )))))))))))))))))))))))))))))))))))
.
.
2012-06-01 20:45 . 2012-06-02 04:17 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-06-01 11:34 . 2012-06-01 11:34 -------- d-sh--w- c:\documents and settings\Administrator.FUJITSU\PrivacIE
2012-05-29 19:28 . 2012-05-29 19:28 -------- d-----w- c:\windows\system32\wbem\Repository
2012-05-29 19:24 . 2012-05-30 04:01 -------- d-----w- c:\programmi\Innovative Solutions
2012-05-29 19:20 . 2012-05-29 19:20 -------- d-----w- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Innovative Solutions
2012-05-29 05:43 . 2012-05-29 05:43 -------- d-----w- C:\AMD
2012-05-22 04:55 . 2012-05-22 11:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PhotoME
2012-05-11 18:40 . 2012-05-11 18:40 -------- d-----w- C:\b677b0d6a3f0bc033241d72048b7ae
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 19:38 . 2010-07-09 08:54 6104168 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2012-04-11 13:51 . 2004-08-04 00:48 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2005-10-06 03:08 1862272 ----a-w- c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2004-09-07 12:00 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-04 13:56 . 2010-07-10 03:44 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-18 18:55 . 2012-03-17 16:55 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-03-18 08:44 . 2012-03-18 08:44 388096 ----a-r- c:\documents and settings\Windows\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL.EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(6).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(5).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(4).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(3).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(2).EXE
.
.
((((((((((((((((((((((((((((( SnapShot@2012-06-02_07.19.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-02 07:29 . 2012-06-02 07:29 16384 c:\windows\Temp\Perflib_Perfdata_8f8.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"="BoIEzuFSaaK" [X]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
"OfficeSyncProcess"="c:\programmi\Microsoft Office\Office14\MSOSYNC.EXE" [2011-07-21 718720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-17 64512]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2011-06-24 1458176]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
"MyGarminAgent"="c:\programmi\Garmin\MyGarminAgent\MyGarminAgent.exe" [2010-03-16 337256]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"BCSSync"="c:\programmi\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-16 258512]
"RTHDCPL"="RTHDCPL.EXE" [2012-03-14 20065896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:14 1695232 ------w- c:\programmi\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programmi\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
.
R1 aswSnx;aswSnx; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Servizio Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [2003-04-18 8192]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
R3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programmi\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
R3 osppsvc;Office Software Protection Platform;c:\programmi\File comuni\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 PuranDefrag;PuranDefrag;c:\windows\system32\PuranDefragS.exe [2011-04-08 229376]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-16 36000]
S1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [2011-12-16 86224]
S2 ArcGIS License Manager;ArcGIS License Manager;c:\programmi\ESRI\License\arcgis9x\lmgrd.exe [2008-08-02 1431440]
S2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programmi\Nitro PDF\Professional\NitroPDFDriverService.exe [2010-10-20 196928]
S2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [2010-10-20 67904]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 22344]
S3 NETwLx32; Driver scheda Intel(R) Wireless WiFi Link 5000 Series per Windows XP 32 Bit;c:\windows\system32\DRIVERS\NETwLx32.sys [2011-12-04 6609920]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 17:52]
.
2012-06-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003Core1ccc3ea29ddbae4.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003UA.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\User_Feed_Synchronization-{73E6A59E-C0D2-45B1-8967-06923E2C3D7B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: I&nvia a OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{F0077504-8AA1-463E-9226-F4FC36D7F463}: NameServer = 85.37.17.7 85.38.28.95
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-02 10:15
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-606747145-287218729-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:20,7c,6a,f7,2f,c9,3a,65,20,65,20,ed,db,57,be,3c,c3,4b,b0,c6,59,
87,fa,31,87,07,18,da,3f,40,c2,17,ef,c1,dd,10,07,3a,1d,2b,1f,0b,9f,74,e7,10,\
"rkeysecu"=hex:74,3c,5e,77,e0,fd,4f,4c,ac,f4,90,4f,8a,e1,79,ce
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(952)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2364)
c:\windows\system32\WININET.dll
c:\progra~1\FILECO~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1040\GrooveIntlResource.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2012-06-02 10:18:26
ComboFix-quarantined-files.txt 2012-06-02 08:18
ComboFix2.txt 2012-06-02 07:22
ComboFix3.txt 2012-06-01 11:57
ComboFix4.txt 2012-05-31 18:51
ComboFix5.txt 2012-06-02 07:43
.
Pre-Run: 28,698,243,072 byte disponibili
Post-Run: 28,680,777,728 byte disponibili
.
- - End Of File - - BF0AB0ABDFAD1BB32C8D0DB66FE8B716

[bdoriano]

Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:

[danielito]

Posto i due log su mediafire per il solito non funzionamento di wikisend & C.

http://www.mediafire.com/?1s1l7vl3fgb44hn

http://www.mediafire.com/?o4n177z9y632czz

[bdoriano]

MBRCheck non ha rilevato minacce.
Discorso diverso, invece, per aswMBR... anche qui non sembra ci siano tracce di malware e la copia del tuo MBR risulta linda e pulita, ma... c'è un valore non standard: