Olimpo Informatico

[lalalallala_la]

Da qualche giorno credo che un qualche malware si sia insediato nel mio pc, adesso scrivo da un altro pc perché il mio notebook acer 6930 con win xp si blocca in continuazione e non è possibile neache accedere, premendo ctrl+alt+canc, ai processi attivi. Sembra che il problema sia partito da firefox, in principio era firefox a bloccarsi e subito dopo tutto il sistema operativo, ora dopo 1-2 minuti si blocca subito il so.
ecco il log di hijackthis, sono riuscito a farlo nei 1-2 minuti prima che si blocchi...
se potete darmi una mano, grazie mille...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.26.59, on 22/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
G:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
G:\Programmi\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programmi\Acer\Acer Bio Protection\BASVC.exe
G:\Programmi\Java\jre6\bin\jqs.exe
G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
G:\WINDOWS\system32\nvsvc32.exe
g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\WINDOWS\system32\PnkBstrB.exe
G:\WINDOWS\system32\svchost.exe
G:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
G:\Programmi\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\system32\wbem\wmiapsrv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\WINDOWS\RTHDCPL.EXE
G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
G:\WINDOWS\PLFSetI.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
G:\Programmi\Acer\Acer Bio Protection\PdtWzd.exe
G:\Programmi\Java\jre6\bin\jusched.exe
G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
G:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
G:\DOCUME~1\utente\IMPOST~1\Temp\RtkBtMnt.exe
G:\Programmi\Mozilla Firefox\firefox.exe
G:\Documents and Settings\utente\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] G:\Programmi\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [LManager] G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [PLFSetI] G:\WINDOWS\PLFSetI.exe
O4 - HKLM\..\Run: [SynTPEnh] G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "G:\Programmi\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [NeroFilterCheck] G:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "G:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = G:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a Bluetooth - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - G:\Programmi\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - G:\Programmi\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - G:\Programmi\Acer\Acer Bio Protection\WinNotify.dll
O20 - Winlogon Notify: spba - G:\Programmi\File comuni\SPBA\homefus2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - G:\Programmi\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - G:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - G:\WINDOWS\system32\DRIVERS\xaudio.exe

--
End of file - 8472 bytes

[R16]

Ciao.
Nel minuto o due che hai a disposizione, prova scaricare Malwarebytes:
Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Probabilmente, non potrai farla in Modalità normale, per cui prova in Modalità provvisoria.
Elimina gli eventuali file infetti trovati.

[lalalallala_la]

ok fatto! ha trovato 5 file infetti, li ho eliminati, dopo aver riavviato il computer, 10 minuti e si è nuovamente bloccato...
mmm... credo che il problema parta da firefox... provo a eliminare i componenti aggiuntivi...

[lalalallala_la]

niente... ho disabilitato i componenti aggiuntivi di firefox, di nuovo dopo 10 minuti stavo visitando il sito yahoo.com e si è bloccato tutto di nuovo.
cosa posso fare?
grazie mille

[R16]

[lalalallala_la]

ho firefox 3.5.1
ecco fatto, questo è il log di combofix: http://wikisend.com/download/533912/ComboFix20091125.txt

[R16]

[syaochan]

[R16]

[lalalallala_la]

non credo che sia un problema quello segnalato da combofix nel MBR, credo che lo segnali come tale perché sono installati 3 boot loader: windows vista nel MBR, il boot loader di win xp e lilo per linux nella prima sezione della partizione...
se però siete sicuri che si tratti di un problema procederò come mi dite.
scusate se sono così diffidente, ma è perché ho dannato un sacco per poter far partire il boot loader per tutti e 3 sistemi operativi...
comunque se siete sicuri mi affido a voi che avete sicuramente più esperienza di me...
aspetto una conferma,
grazie mille

[R16]

Ciao.
Facciamo così:
Scarica il tool lo stesso in G:
Poi :
Da Start - Esegui - digita G:\mbr.exe e clicca su OK
Questo comando non tocca l'MBR, ma segnala solo se c'è l'infezione.

[lalalallala_la]

ecco il risultato di mbr.exe:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x86252f30
NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHand
ler -> 0x8628f480
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

[R16]

Ciao.
C'è poco da dire....hai l'MBR infetto.
Fra l'altro ho notato che che si è creata (anzi sono 4) le cartelle "HELPASSISTANT" in g:\documents and settings\HelpAssistant
Che sono sintomi chiari del Rootkit.
Esegui le indicazioni che ho postato, e poi vediamo di disabilitare l'account HELPASSISTANT.

P.S:
Attenzione, molto probabilmente,dopo l'esecuzione del MBR.exe, potranno esserci problemi di boot loader .
Per cui, o ti tieni stretto il rootkit, oppure preparati a "dannarti", per far rifunzionare i 3 S.O che hai installato.

[lalalallala_la]

fatto! e non ci sono problemi di boot loader
questo è il nuovo log di mbr.exe:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

perché compare ancora "malicious code @ sector 0x02542D6C4"?

[R16]

Ciao.
Fai queste operazioni:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina, dovresti trovare l'account HelpAssistant.
Con il click del tasto destro del mouse, su questo account, ti apparirà un menu dal quale selezioni: Proprietà
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
L'account apparirà quindi disabilitato, poi clicca su: su Proprietà --> tab "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori.

Poi elimina le cartelle dell'account fasullo in C:\ Documents and Settings\ HelpAssistant

Servirebbe una nuova scansione con Combofix, e relativo log.
Poi vorrei sapere se ci sono miglioramenti, o non è cambiato niente.

[lalalallala_la]

sembra che adesso il so non si blocchi più... sembra che tutto sia tornato alla normalità.
ecco il log di ComboFix:
http://wikisend.com/download/606794/ComboFix20091206.txt

grazie mille!

[R16]

Ciao.
Il Rootkit, è stato eliminato.
Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)

Posta un log di hijackthis.

[lalalallala_la]

non riesco a disinstallare combofix... con la procedura da te suggerita mi fa ripartire combofix... cosa devo fare?

[R16]

Ciao.
Elimina la cartella che trovi in C:
Elimina anche la cartella Qoobox.
Elimina l'icona sul desktop.
Con la funzione "Cerca" di Windows, digita Combofix ed elimina tutto quello che trova.

[lalalallala_la]

grazie di tutto!!!
adesso è tornato tutto a posto!
grazie mille per il tempo dedicatomi!!

ecco il file di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.44.41, on 16/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
G:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
G:\Programmi\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programmi\Acer\Acer Bio Protection\BASVC.exe
G:\Programmi\Java\jre6\bin\jqs.exe
G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
G:\WINDOWS\system32\nvsvc32.exe
g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\WINDOWS\system32\PnkBstrB.exe
G:\WINDOWS\system32\svchost.exe
G:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
G:\Programmi\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\system32\wbem\wmiapsrv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\RTHDCPL.EXE
G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
G:\WINDOWS\PLFSetI.exe
G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
G:\Programmi\Acer\Acer Bio Protection\PdtWzd.exe
G:\Programmi\Java\jre6\bin\jusched.exe
G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
G:\DOCUME~1\utente\IMPOST~1\Temp\RtkBtMnt.exe
G:\WINDOWS\System32\svchost.exe
G:\Documents and Settings\utente\Desktop\toolantiMaleware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] G:\Programmi\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [LManager] G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [PLFSetI] G:\WINDOWS\PLFSetI.exe
O4 - HKLM\..\Run: [SynTPEnh] G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "G:\Programmi\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [NeroFilterCheck] G:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "G:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "G:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = G:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a Bluetooth - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - G:\Programmi\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - G:\Programmi\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - G:\Programmi\Acer\Acer Bio Protection\WinNotify.dll
O20 - Winlogon Notify: spba - G:\Programmi\File comuni\SPBA\homefus2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - G:\Programmi\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - G:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - G:\WINDOWS\system32\DRIVERS\xaudio.exe

--
End of file - 8633 bytes