Olimpo Informatico

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Ciao a tutti,
potete analizzarmi questo file log creato con combofix, perche' non essendo esperto non so proprio come decifrarlo, men che meno risolvere il problema.
Ho il portatile con interfaccia xp e da ieri in windows non parte, si apre solo lo sfondo e ho dovuto caricare il programma combofix e farlo partire da task manager.
Grazie

ComboFix 08-03-14.4 - Proprietario 2008-03-15 20.10.36.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.695 [GMT 0:00]
Eseguito da: C:\Documents and Settings\Proprietario\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-02-15 al 2008-03-15 )))))))))))))))))))))))))))))))))))
.

2008-03-15 19:05 . 2008-03-15 19:05 1,099,017 --a------ C:\WINDOWS\wboohob.exe
2008-03-15 16:22 . 2008-03-15 16:22 1,099,017 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2008-03-15 16:21 . 2008-03-15 16:21 1,099,017 --a------ C:\WINDOWS\explorer.exe
2008-03-05 15:41 . 2008-03-05 15:41 <DIR> d-------- C:\Programmi\Axis Communications
2008-03-03 07:44 . 2008-03-03 07:44 <DIR> d-------- C:\Programmi\Windows Live
2008-03-03 07:44 . 2008-03-03 07:44 <DIR> d--hsc--- C:\Programmi\File comuni\WindowsLiveInstaller
2008-03-03 07:43 . 2008-03-03 07:43 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\WLInstaller
2008-02-26 18:56 . 2008-02-26 18:56 209 --a------ C:\WINDOWS\CDPLAYER.INI
2008-02-26 18:56 . 2008-02-26 18:56 8 --a------ C:\WINDOWS\system32\ntP2.trk
2008-02-26 18:50 . 2008-02-26 18:57 <DIR> d-------- C:\Programmi\CD Mp3 Extractor
2008-02-20 14:23 . 2008-03-15 13:15 0 --a------ C:\Documents and Settings\Proprietario\wqduyeml.exe
2008-02-20 13:25 . 2008-02-20 13:24 15,872 --a------ C:\WINDOWS\wsysst32.exe
2008-02-20 13:24 . 2008-03-15 13:16 5,120 --a------ C:\WINDOWS\winsyn.dll
2008-02-17 18:17 . 2008-02-17 18:17 <DIR> d-------- C:\Programmi\KONAMI

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 13:16 --------- d-----w C:\Documents and Settings\Proprietario\Dati applicazioni\Skype
2008-03-01 21:28 --------- d-----w C:\Programmi\eMule
2008-02-26 18:56 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-02-18 14:15 --------- d-----w C:\Documents and Settings\Proprietario\Dati applicazioni\U3
2008-01-28 17:29 --------- d-----w C:\Programmi\TI Education
2008-01-28 17:29 --------- d-----w C:\Programmi\File comuni\TI Shared
2008-01-28 17:29 --------- d-----w C:\Programmi\File comuni\SpellEx
2008-01-28 17:28 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-01-15 16:22 --------- d-----w C:\Documents and Settings\Proprietario\Dati applicazioni\Lavasoft
2005-03-31 20:17 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2007-06-28 22:36 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-06-28 22:36 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
2007-06-28 22:36 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012007062920070630\index.dat
2007-06-28 22:36 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
.

------- Sigcheck -------

2008-03-15 16:21 1099017 ccf7dd39b6234d31c6bb25307cd01a44 C:\WINDOWS\explorer.exe
2007-06-13 13:10 1035776 b4e85805be6d23de697f7b3ba7492d0b C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2006-12-16 10:12 1035776 09f23c55b3a69e57360dd8a428cb4613 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-03-15 16:22 1099017 ccf7dd39b6234d31c6bb25307cd01a44 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-15_19.18.12,34 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-15 19:05:48 60,446 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-15 20:11:38 60,446 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-15 19:05:48 71,918 ----a-w C:\WINDOWS\system32\perfc010.dat
+ 2008-03-15 20:11:38 71,918 ----a-w C:\WINDOWS\system32\perfc010.dat
- 2008-03-15 19:05:48 395,112 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-15 20:11:38 395,112 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-03-15 19:05:48 441,490 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-03-15 20:11:38 441,490 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-03-15 20:06:45 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4f4.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-30 19:00 15360]
"Skype"="C:\Programmi\Skype\Phone\Skype.exe" [2006-06-26 14:53 20005928]
"msnmsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 11:07 761946]
"SkyTel"="SkyTel.EXE" [2006-08-16 09:21 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programmi\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 09:20 53248]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 09:23 16248320 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-21 01:58 7581696]
"nwiz"="nwiz.exe" [2006-07-21 01:58 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-21 01:58 86016]
"RemoteControl"="C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 15:35 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224]
"Acrobat Assistant 7.0"="C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 00:12 483328]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-07-07 09:02 98304]
"LogitechCommunicationsManager"="C:\Programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe" [2006-10-30 23:06 304664]
"AcerOrbicamRibbon"="C:\Programmi\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 16:43 754712]
"LVCOMSX"="C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe" [2006-11-28 16:38 244512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-30 19:00 15360]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
AutoCAD Startup Accelerator.lnk - C:\Programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 04:43:54 11000]
Avvio veloce di Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe [2007-07-02 12:25:44 25214]
ymetray.lnk - C:\Programmi\Yahoo!\Yahoo! Music Jukebox\ymetray.exe [2008-02-05 14:29:20 54512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"7F45W5T68K"= C:\WINDOWS\wsysst32.exe
"update32"= C:\WINDOWS\lwsys32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\Yahoo!\\Yahoo! Music Jukebox\\YahooMusicEngine.exe"=
"C:\\Programmi\\eMule\\LinkCreator.exe"=
"C:\\Programmi\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programmi\\SopCast\\SopCast.exe"=
"C:\\Programmi\\SopCast\\sopvod.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=
"C:\\Programmi\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2007-07-20 08:30]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 21:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45343326-950b-11dc-8c91-0016d4b0fa6f}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c067c36c-26d5-11dc-8b3c-0016d4b0fa6f}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 20:11:57
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-03-15 20.12.23
ComboFix2.txt 2008-03-15 19:18:24
.
2007-09-01 18:30:50 --- E O F ---

bdoriano · Inviato: 17 Mar 2008 09:37 Oggetto:

Ciao socrates, Ciao

di casini non ne hai pochi... Rolling Eyes

vediamo di riuscire a fare le pulizie generiche, prima:

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Scarica Norman Malware Cleaner e NOD32 Scanner.
Avvia il pc in modalità provvisoria.
Avvia NOD32 e fagli fare la scansione completa.
Avvia Norman Malware Cleaner e fagli fare la scansione completa.
Viene generato un log sul desktop chiamandolo NFix_2008-03-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
Segui le istruzioni di questo topic per postare il log di combofix aggiornato.

PS: se vuoi, puoi presentarti qui

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Ho fatto tutto...
Ecco qua i post:

combofix aggiornato:

combofix3.txt

e log NFIX:

NFix_2008-03-17_12-52-58.log

bdoriano · Inviato: 17 Mar 2008 19:00 Oggetto:

Crea un file di testo con le seguenti istruzioni:

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Grazie bdoriano,
appena torno a casa dal lavoro mi metto all'opera...
L'unica cosa che volevo chiederti,
il trascinamento del file txt sull'icona combofix posso farlo anche dal menu "esplora" di task manager?
Questo perche' al momento quando faccio partire windows mi appare solo il fondo schermo senza icone...
Grazie ancora

bdoriano · Inviato: 17 Mar 2008 20:50 Oggetto:

Ah già!

clicca qui (tenendo premuto il tasto CTRL).
Dopo qualche secondo ti parte il download del programma di scansione.
Si chiamerà SYS#####. Dove, al posto dei #####, ci saranno dei numeri casuali.
Salvalo dove vuoi tu (anche sul desktop)
Avvialo
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Citazione:

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run | 7F45W5T68K
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run | update32

Files to delete:
C:\WINDOWS\wboohob.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\wsysst32.exe
C:\WINDOWS\winsyn.dll
C:\WINDOWS\lwsys32.exe

e clicca Proceed with removal

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.

Scarica il file explorer.zip e scompattalo in C:\Windows e C:\WINDOWS\system32\dllcache.

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Fiuuuu!!!!!
E' ricomparso tutto.... Very Happy

Ecco qua i log:

Avenger
avenger70.txt

Hijackthis
hijackthis360.log

Dacci una controllata ma adesso pare funzioni tutto...

Ti ringrazio veramente per la competenza e tempestività di risposta, compreso questo sito che è veramente ben fatto.

Grazie

bdoriano · Inviato: 18 Mar 2008 00:22 Oggetto:

Facciamo un altro paio di controlli:

Disabilita il tuo antivirus
Collegati a BitDefender (con IE) e fai la scansione completa.
Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Ciao bdoriano,

ecco qua il file html creato da kaspersky:

kaspersky36.html

In teoria ha trovato un virus o qualcosa in un file dell'altro disco fisso che ho sul computer (E:\), ma sicuramente tu saprai dirmi di più.

Xau e grazie

bdoriano · Inviato: 18 Mar 2008 22:25 Oggetto:

E:\Users\Proprietario\AppData\Local\Temp\NeroDemo12561\Toolbar.exe viene segnalato come Adware (advertising software - software pubblicitario) ed è presente nella cartella temporanea.
Dev'essere stato estratto quando hai installato Nero. Wink

Puoi cercarlo ed eliminarlo senza problemi. Razz

Per il resto, riscontri ancora problemi?

socrates · Mortale devoto Registrato: 17/03/08 00:36 Messaggi: 13

Già eliminato...

Per adesso sembra tutto ok...

Se riscontrerò altri problemi sicuramente mi farò sentire...

Grazie ancora della disponibilità.

Ciao