| Precedente :: Successivo |
| Autore |
Messaggio |
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
 Inviato: 08 Apr 2010 14:03 Oggetto: Pulizia PC.. Virus e altro.. |
 |
|
Ho da poco formattato, e bhè un po incoscientemente ho aspettato fino a ieri per installare Avira Antivir.. pensavo di essermela cavata, quando oggi vado ad accendere il pc e mi escono una ventina di avvisi d'infezione.. non so se l'antivirus me li ha eliminati o cosa.. però vi sarei grato se controllaste un po meglio il mio pc.. grazie in anticipo 
Log di HiJackThis.. (se serve altro chiedete..)
[spoiler]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.01.45, on 08/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\S3trayp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\docume~1\giulio\impost~1\temp\servces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\Windows3.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Giulio\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Intel i386] c:\docume~1\giulio\impost~1\temp\servces.exe
O4 - HKLM\..\Run: [test] Windows3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1267130827562
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: S3LoadSv - Unknown owner - C:\WINDOWS\system32\S3LoadSv.exe (file missing)
--
End of file - 6427 bytes
[/spoiler] |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
| Inviato: 09 Apr 2010 16:04 Oggetto: |
|
|
Scusa R1.. è normale che i file cancellati da quella cartella al riavvio ricomapiono?
ecco il log di MBAM:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Versione database: 3970
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
09/04/2010 14.48.57
mbam-log-2010-04-09 (14-48-57).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 225030
Tempo trascorso: 15 ore, 24 minuti, 51 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 4
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 7
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\imjpmig8.2 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intel i386 (Backdoor.IRCBot) -> No action taken.
Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
C:\Documents and Settings\Giulio\Impostazioni locali\Temporary Internet Files\Content.IE5\5XPU1E9K\hypwhc[1].htm (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Giulio\Impostazioni locali\Temporary Internet Files\Content.IE5\H2CNS0KK\kkemu[1].htm (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D996A9FE-BDA4-4F89-BA19-CE2CE2E0C292}\RP61\A0042341.exe (Trojan.Palevo.Gen.B1) -> No action taken.
C:\WINDOWS\system32\drivers\xoivcyh.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\All Users\Preferiti\_favdata.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Giulio\csrss.exe (Trojan.Agent) -> No action taken.
c:\Documents and Settings\Giulio\Impostazioni locali\Temp\servces.exe (Backdoor.IRCBot) -> No action taken.
Ps. Ho fatto lo scan anche con super antispyware ma.. non so dove abbia salvato il log.. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Apr 2010 17:40 Oggetto: |
|
|
| Citazione: | | Scusa R1.. è normale che i file cancellati da quella cartella al riavvio ricomapiono? |
A quale cartella? Se ti riferisci alla cartella Prefetch oppure gli ADS, sì è normale.
Elimina tutto quello che ha trovato Malwarebytes. (mi sembrano tantine 15 ore di scansione).
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log con queste modalità:
Carica il log di Combofix, e su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link
Il log di Superantispyware lo dovresti trovare su "Statistiche\Registro", in alto, sulla schermata principale. (credo) |
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
| Inviato: 09 Apr 2010 19:25 Oggetto: |
|
|
Ok, Grazie.
SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 04/08/2010 at 11:10 PM
Application Version : 4.35.1002
Core Rules Database Version : 4783
Trace Rules Database Version: 2595
Scan type : Complete Scan
Total Scan Time : 00:25:21
Memory items scanned : 524
Memory threats detected : 0
Registry items scanned : 4242
Registry threats detected : 1
File items scanned : 16268
File threats detected : 15
Adware.Tracking Cookie
C:\Documents and Settings\Giulio\Cookies\giulio@doubleclick[3].txt
C:\Documents and Settings\Giulio\Cookies\giulio@atdmt[2].txt
C:\Documents and Settings\Giulio\Cookies\giulio@doubleclick[1].txt
C:\Documents and Settings\Giulio\Cookies\giulio@kaspersky.122.2o7[1].txt
C:\Documents and Settings\Giulio\Cookies\giulio@atdmt[1].txt
Adware.Vundo Variant/Rel
HKU\S-1-5-21-1844237615-113007714-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run#MSServer [ msfun80.exe ]
Trojan.Agent/Gen-FraudLoad[Crit]
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\663.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\057.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\190021D8.TMP
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\492.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\754.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\779.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\DF7D1EDC.TMP
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\58SC417K\VJENCANICA[1].EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\5XPU1E9K\VJENCANICA[1].EXE
Trojan.RootKit/Gen
C:\WINDOWS\SYSTEM32\DRIVERS\XOIVCYH.SYS
(Scusa se non uppo su wikisend va bene lo stesso così?)
ora scarico l'altro programma e ti dico.. |
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
| Inviato: 09 Apr 2010 19:51 Oggetto: |
|
|
Ecco l'altro log:
log.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Apr 2010 21:08 Oggetto: |
|
|
| Citazione: | | (Scusa se non uppo su wikisend va bene lo stesso così?) |
No, è meglio se "uppi" su wikisend.
Fai una scansione con Avira.
Posta il log.
Poi posta un log aggiornato di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440 |
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 10 Apr 2010 20:51 Oggetto: |
|
|
Ciao.
Non risultano infezioni nei log.
Se il pc funziona bene, abbiamo finito. |
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
| Inviato: 10 Apr 2010 20:53 Oggetto: |
|
|
| Grazie R1, mi sei stato di grande aiuto.. comunque.. m'era venuto in mente di provare Windows 7.. c'è un modo di installarlo dall'HD? siccome s'è rotto il lettore.. e avere comunque XP installato in caso di necessità? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 10 Apr 2010 20:59 Oggetto: |
|
|
Sinceramente, non lo sò. (ma penso di sì)
Prova a rivolgerti alla sezione Windows 7:
http://forum.zeusnews.com/viewforum.php?f=90
Loro potranno aiutarti sicuramente, meglio di me.
Ciao!  |
|
| Top |
|
|
illusion194
Mortale pio
Registrato: 10/11/09 21:19
Messaggi: 24
|
| Inviato: 10 Apr 2010 21:00 Oggetto: |
 |
|
| Ok. Grazie ancora per l'aiuto. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
