Olimpo Informatico

[Jeppo59]

Ma perché Avast non lo ha fermato?
Ho ripreso il virus tramite google.
Si è posizionato nella cartella file temp e mi ha creato una nuova connessione chiamandola INTERNET, sfruttando in numero di Telecom per connettersi per conto suo.Se apro il task manager,è fra i file in esecuzione automatica il maledetto KGRP!.EXE
Pannello di controllo-->Impostazione Applicazioni--> e LINKOPTIMIZER è ancora li
Non mi sta facendo terminare la scansione con Kaspersky(ho già provato due volte e questa che sto facendo è la terza).
Il floppy non funziona per riavviare in DOS, ma ho ancora installato Killbox.
Il S.O. è sempre WindowsMe (il ripristino di configurazione del sistema non è andato a buon fine).
Vi allego il log di hijackthis
Rinfrescatemi la memoria sulle procedure
Logfile of HijackThis v1.99.1
Scan saved at 21.42.15, on 31/07/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\FILE COMUNI\ROXIO SHARED\PROJECT SELECTOR\PROJSELECTOR.EXE
C:\WINDOWS\TEMP\KGRP1.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {624D0FB4-B219-C18A-4851-0582B9382747} - C:\WINDOWS\HMIKP1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [projselector] "C:\Programmi\File comuni\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [KGRP1.EXE] C:\WINDOWS\TEMP\KGRP1.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServicesOnce: [*em] "C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\UIW.EXE" PZblNZ
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_ansi.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

A presto.

[Jeppo59]

Questa è la scansione di Kaspersky

KASPERSKY ONLINE SCANNER REPORT
Monday, July 31, 2006 10:45:09 PM
Operating System: Microsoft Windows Millennium Edition
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 31/07/2006
Kaspersky Anti-Virus database records: 198596


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
a:\
c:\
d:\
e:\
f:\

Scan Statistics
Total number of scanned objects 80711
Number of viruses found 2
Number of infected objects 2 / 0
Number of suspicious objects 0
Duration of the scan process 01:06:36

Infected Object Name Virus Name Last Action
c:\_RESTORE\LOGS\vxdsfp.log Object is locked skipped

c:\_RESTORE\LOGS\vxdalt1.log Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbd Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\SYSMAST.cbk Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbd Object is locked skipped

c:\WINDOWS\SYSTEM\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATMAST.cbk Object is locked skipped

c:\WINDOWS\SYSTEM\cp_2026h.nls Infected: Trojan.Win32.RKDice.a skipped

c:\WINDOWS\WIN386.SWP Object is locked skipped

c:\WINDOWS\Cookies\index.dat Object is locked skipped

c:\WINDOWS\TEMP\_avast4_\Webshlock.txt Object is locked skipped

c:\WINDOWS\TEMP\kgrp1.exe Infected: Trojan.Win32.Agent.xj skipped

c:\WINDOWS\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked skipped

c:\WINDOWS\Sti_Trace.log Object is locked skipped

c:\WINDOWS\Sti_Event.log Object is locked skipped

c:\WINDOWS\wiaservc.log Object is locked skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

c:\WINDOWS\Cronologia\History.IE5\index.dat Object is locked skipped

c:\WINDOWS\Cronologia\History.IE5\MSHist012006073120060801\index.dat Object is locked skipped

c:\WINDOWS\SchedLog.Txt Object is locked skipped

c:\WINDOWS\Motorola SM56 PCI Speakerphone Modem.log Object is locked skipped

c:\Programmi\File comuni\Microsoft Shared\uIw.exe Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\report\Protezione residente.txt Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

c:\Programmi\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

Scan process completed.

intanto che aspettavo, ho dato un'occhiata in qualche cartella e credo di aver individuato due file (hmikp1.dll e HMIKP1.upd in C:\WINDOWS che se non ricordo male, avevo già cancellato col precedente virus!

Nell'attesa scansiono con avast

[holifay]

Ma non avevi disabilitato le immagini wmf?


Ormai sei un esperto su come eliminarlo: http://forum.zeusnews.com/viewtopic.php?p=120932#120932

[Jeppo59]

Ho riletto il vecchio post ed ho rilevato alcune differenze, ad esempio la posizione di kgrp1.exe, perciò aspetto tuoi consigli sulla procedura.
Per le immagini wmf, mi avevi consigliato (vedi vecchio post):
Una soluzione radicale è disabilitare la visione delle immagini wmf sul tuo computer, in fondo non è una limitazione molto grande... io te le consiglio vivamente se vuoi farlo il comando da digitare in una finestra di DOS è
regsvr32 -u shimgvw.dll
Poi corretti da Gateo e Chemicalbit mi avevi detto:
Quando sei in C:>windows, digita cd system per portarti dentro questa cartella, poi usa il comando regsvr32 /u shimgvw.dll
ed io ti ho risposto:
DllUnregisterServer in shimgvw.dll succeded
La domanda è da dove l'ho preso stavolta?

[holifay]

eh, piacerebbe saperlo anche a me

Hai ancora Virit? Scaricalo e fai una scansione, meglio se dalla modalità provvisoria. Poi prendi nota dei vari file infetti che trovano (lui e Avast) e li cancelliamo al reboot con Killbox.

Quando usi Virit disabilita la scansione real time di Avast e viceversa.

Ciao

[Jeppo59]

In verità stavo facendo una scansione online con Bitdefender che al momento mi ha trovato e cancellato:
C:\WINDOWS\SYSTEM\cp_2026h.nls
E' ancora a metà scansione, poi ti informo dell'esito.
Se è necessario, poi faccio anche le scansioni con virit e avast.
Ci sentiamo , ciao, ciao.

[Jeppo59]

Nel frattempo che Bitdefender finisse la sua scansione, ho fatto una camminata nei files temporary di internet, e credo di aver trovato i probabili creatori del virus.
Questi sono i siti di riferimento di alcuni file, che ovviamente mi sono guardato bene dal visitare!!!:
http://xearl.com/433a7e5a/52123/1/w9x.php
http://xearl.com/433a7e5a/52123/1/xp/activex.htm
http://xearl.com/433a7e5a/52123/7/obj.php
http://xearl.com/433a7e5a/52123/5/ccr.htm
http://xearl.com/433a7e5a/52123/8/java.htm
http://xearl.com/433a7e5a/52123/4/chm.htm
htτp://zllin.info/e/us051/index.php
htτp://lipdolls.net/l/lc051.html
E due cookie:
@yadro.ru
@therichmedia.com
Sono le uniche cose sconosciute sui siti visitati quel giorno.
Ovviamente se qualcuno ne capisce di più!!!
Ciao, ciao.

[Jeppo59]

Ok la scansione è appena finita, ecco i dati:

BitDefender Online Scanner



Scan report generated at: Tue, Aug 01, 2006 - 01:03:58





Scan path: A:\;C:\;D:\;E:\;F:\;







Statistics

Time
01:23:46

Files
248869

Folders
3546

Boot Sectors
4

Archives
4126

Packed Files
25769




Results

Identified Viruses
4

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4




Engines Info

Virus Definitions
417579

Engine build
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Scan plugins
13

Archive plugins
38

Unpack plugins
5

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\WINDOWS\SYSTEM\cp_2026h.nls
Infected with: Trojan.RKDice.A

C:\WINDOWS\SYSTEM\cp_2026h.nls
Disinfection failed

C:\WINDOWS\SYSTEM\cp_2026h.nls
Deleted

C:\Download\dolphinfree.exe=>wise0053
Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Download\dolphinfree.exe=>wise0053
Disinfection failed

C:\Download\dolphinfree.exe=>wise0053
Deleted

C:\Download\dolphinfree.exe
Update failed

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Detected with: Application.Spyware.WebHancer.A

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Disinfection failed

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)=>WhAgent.exe
Deleted

C:\Download\dolphinfree.exe=>wise0054=>(RAR Sfx o)
Update failed

D:\Documenti\Trucchi e consigli\Forum Zeus\Come debellara un Trojan\killsgrunt.exe
Infected with: Generic.Dialer.6233C5FC

D:\Documenti\Trucchi e consigli\Forum Zeus\Come debellara un Trojan\killsgrunt.exe
Disinfection failed

D:\Documenti\Trucchi e consigli\Forum Zeus\Come debellara un Trojan\killsgrunt.exe
Deleted


Come vedi, conservo qualche forum particolare da rileggere ogni tanto.
Tanto ci pensa Bitdefender a cancellarli!!!

Strano che non abbia rilevato il file kgrp1.exe presente nei file temp e i file hmikp1.dll e HMIKP1.upd presenti nella cartella C:\WINDOWS

Adesso forse è ora di andare a letto, fra qualche ora si va a lavoro.
Ci risentiamo nel pomeriggio.
'notte!

[holifay]

[Jeppo59]

Se ho capito bene dalla tua analisi, questa volta non è stata l'immagine vmf ad infettarmi.
Citazione:

[Jeppo59]

A proposito, ho scordato di dirti che in C:\WINDOWS, c'è ancora il file HMIKP1.upd che nessun antivirus ha preso in considerazione e che stava con hmikp1.dll
L'altra volta non c'era!
Lo possiamo torturare?

[holifay]

Sì, mi raccomando il file HMIKP1.upd bastonalo senza pietà anzi ti consiglio di guardare la data di creazione e cercare tutti i file creati in quei giorni con nomi strani (casuali) e i file del tipo ####.TMP in C:/windows. Fai la ricerca per data.

Se vuoi ti aiuto a darci un occhio. Salva sul desktop questo file ed eseguilo. Dopo qualche istante ti salverà sul desktop 8 file di testo. Aprili e copia incolla il contenuto di tutti e otto (se non vuoti) selezionando i file creati da un paio di mesi ad oggi.

Per quanto riguarda il file www.google.com trovi gli aggiornamenti qui: http://www.suspectfile.com/forum/viewtopic.php?t=184
Sì, evidentemente è una nuova forma per veicolarlo, complimenti per averla trovata

Java se ti serve lo puoi scaricare dal sito della sun http://www.java.com/it/download/index.jsp
ma prima disinstalla le vecchie versioni e cancella la cartella C:/WINDOWS/JAVA

elimina dal log queste voci:

[Jeppo59]

Visto che vuoi darci un occhio ti accontento subito.
Per le date, tieni presente che che quelle con riferimento dell' anno 2000, sono relative al mese scorso (avevo un problema con la batteria tampone e quindi ogni tanto si azzerava la data all'accensione); per le date precedenti (1999 e 1998) probabilmente sono residui precedenti alla formattazione (questo hard disk è recuperato da un altro PC non più funzionante).
cf.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
DC.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\

SCANDISK LOG 523 02/08/06 11.36 SCANDISK.LOG
BOOTLOG TXT 72.254 02/08/06 10.48 BOOTLOG.TXT
BOOTLOG PRV 72.012 02/08/06 2.02 BOOTLOG.PRV
SETUPLOG TXT 219.034 13/07/06 13.10 SETUPLOG.TXT
COMPATID TXT 351 09/07/06 1.11 COMPATID.TXT
DETLOG TXT 49.507 07/07/06 6.58 DETLOG.TXT
OS150882 BIN 497 06/07/06 18.13 os150882.bin
CONFIG SYS 0 03/07/06 19.38 CONFIG.SYS
CONFIG BAK 0 03/07/06 19.38 CONFIG.BAK
AUTOEXEC BAK 244 03/07/06 19.38 AUTOEXEC.BAK
AUTOEXEC BAT 244 03/07/06 19.38 AutoExec.bat
THUMBS DB 6.144 25/06/06 15.28 Thumbs.db
NETLOG TXT 9.538 25/06/06 15.10 NETLOG.TXT
MSDOS SYS 1.678 25/06/06 15.07 MSDOS.SYS
DETLOG OLD 6.918 25/06/06 15.05 DETLOG.OLD
SUHDLOG DAT 7.738 25/06/06 15.00 SUHDLOG.DAT
CLASSES 1ST 3.895.328 25/06/06 15.00 CLASSES.1ST
SYSTEM 1ST 2.125.856 25/06/06 15.00 SYSTEM.1ST
W9XUNDO INI 345.623 25/06/06 14.47 W9XUNDO.INI
W9XUNDO DAT 226.524.371 25/06/06 14.47 W9XUNDO.DAT
WINLFN1 INI 10.770 25/06/06 14.43 WINLFN1.INI
WINLFN INI 50.045 25/06/06 14.43 WINLFN.INI
MSDOS BAK 1.660 25/06/06 14.42 MSDOS.BAK
SETUPLOG OLD 196.588 24/06/06 20.12 SETUPLOG.OLD
_INST32I EX_ 297.989 19/10/00 14.19 _INST32I.EX_
_ISDEL EXE 27.648 19/10/00 14.19 _ISDEL.EXE
_SETUP DLL 34.816 19/10/00 14.19 _SETUP.DLL
_SYS1 CAB 175.312 19/10/00 14.19 _SYS1.CAB
_SYS1 HDR 4.164 19/10/00 14.19 _SYS1.HDR
_USER1 CAB 205.732 19/10/00 14.19 _USER1.CAB
_USER1 HDR 5.023 19/10/00 14.19 _USER1.HDR
ABOUT CFG 364 19/10/00 14.19 ABOUT.CFG
IO SYS 110.080 08/06/00 17.00 io.sys
COMMAND COM 95.264 08/06/00 17.00 command.com
AUTOEXEC DOS 194 01/01/00 0.54 AUTOEXEC.DOS
SUHDLOG --- 5.166 01/01/00 0.42 SUHDLOG.---
MSDOS --- 22 01/01/00 0.31 MSDOS.---
37 file 234.558.697 byte
0 dir Spazio disponibile 7.730.80 MB

DP.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\

SCANDISK LOG 523 02/08/06 11.36 SCANDISK.LOG
BOOTLOG TXT 72.254 02/08/06 10.48 BOOTLOG.TXT
BOOTLOG PRV 72.012 02/08/06 2.02 BOOTLOG.PRV
SETUPLOG TXT 219.034 13/07/06 13.10 SETUPLOG.TXT
COMPATID TXT 351 09/07/06 1.11 COMPATID.TXT
DETLOG TXT 49.507 07/07/06 6.58 DETLOG.TXT
OS150882 BIN 497 06/07/06 18.13 os150882.bin
CONFIG SYS 0 03/07/06 19.38 CONFIG.SYS
CONFIG BAK 0 03/07/06 19.38 CONFIG.BAK
AUTOEXEC BAK 244 03/07/06 19.38 AUTOEXEC.BAK
AUTOEXEC BAT 244 03/07/06 19.38 AutoExec.bat
THUMBS DB 6.144 25/06/06 15.28 Thumbs.db
NETLOG TXT 9.538 25/06/06 15.10 NETLOG.TXT
MSDOS SYS 1.678 25/06/06 15.07 MSDOS.SYS
DETLOG OLD 6.918 25/06/06 15.05 DETLOG.OLD
SUHDLOG DAT 7.738 25/06/06 15.00 SUHDLOG.DAT
CLASSES 1ST 3.895.328 25/06/06 15.00 CLASSES.1ST
SYSTEM 1ST 2.125.856 25/06/06 15.00 SYSTEM.1ST
W9XUNDO INI 345.623 25/06/06 14.47 W9XUNDO.INI
W9XUNDO DAT 226.524.371 25/06/06 14.47 W9XUNDO.DAT
WINLFN1 INI 10.770 25/06/06 14.43 WINLFN1.INI
WINLFN INI 50.045 25/06/06 14.43 WINLFN.INI
MSDOS BAK 1.660 25/06/06 14.42 MSDOS.BAK
SETUPLOG OLD 196.588 24/06/06 20.12 SETUPLOG.OLD
_INST32I EX_ 297.989 19/10/00 14.19 _INST32I.EX_
_ISDEL EXE 27.648 19/10/00 14.19 _ISDEL.EXE
_SETUP DLL 34.816 19/10/00 14.19 _SETUP.DLL
_SYS1 CAB 175.312 19/10/00 14.19 _SYS1.CAB
_SYS1 HDR 4.164 19/10/00 14.19 _SYS1.HDR
_USER1 CAB 205.732 19/10/00 14.19 _USER1.CAB
_USER1 HDR 5.023 19/10/00 14.19 _USER1.HDR
ABOUT CFG 364 19/10/00 14.19 ABOUT.CFG
IO SYS 110.080 08/06/00 17.00 io.sys
COMMAND COM 95.264 08/06/00 17.00 command.com
AUTOEXEC DOS 194 01/01/00 0.54 AUTOEXEC.DOS
SUHDLOG --- 5.166 01/01/00 0.42 SUHDLOG.---
MSDOS --- 22 01/01/00 0.31 MSDOS.---
37 file 234.558.697 byte
0 dir Spazio disponibile 7.730.79 MB

DSYS32.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\WINDOWS\SYSTEM32

Spazio disponibile 7.730.76 MB

Dsystemp.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\WINDOWS\TEMP

FLAB322 TMP 0 03/08/06 0.27 flaB322.TMP
FLAB0A1 TMP 0 02/08/06 23.59 flaB0A1.TMP
FLAE212 TMP 0 02/08/06 23.46 flaE212.TMP
FLA1003 TMP 0 02/08/06 23.33 fla1003.TMP
FLAE321 TMP 0 02/08/06 23.14 flaE321.TMP
FLA6343 TMP 0 02/08/06 23.06 fla6343.TMP
FLAA1F1 TMP 0 02/08/06 19.26 flaA1F1.TMP
WWW6031 TMP 256 02/08/06 11.06 www6031.TMP
M 9.728 31/07/06 0.03 m
3013 TMP 9.728 31/07/06 0.03 3013.TMP
~WRF2398 TMP 169.984 29/07/06 2.09 ~WRF2398.tmp
~DFA708 TMP 1.536 29/07/06 2.09 ~DFA708.TMP
~DFA58A TMP 0 29/07/06 2.09 ~DFA58A.TMP
~DFA709 TMP 0 29/07/06 2.09 ~DFA709.TMP
~DFA927 TMP 0 29/07/06 2.09 ~DFA927.TMP
~DFA249 TMP 0 29/07/06 2.09 ~DFA249.TMP
~DFA2A7 TMP 0 29/07/06 2.09 ~DFA2A7.TMP
~WRF1646 TMP 169.984 29/07/06 2.08 ~WRF1646.tmp
~DF2C9C TMP 1.536 29/07/06 2.08 ~DF2C9C.TMP
~DF37D4 TMP 0 29/07/06 2.08 ~DF37D4.TMP
~DF2C9E TMP 0 29/07/06 2.08 ~DF2C9E.TMP
~DF1B66 TMP 0 29/07/06 2.08 ~DF1B66.TMP
~DFA3C TMP 0 29/07/06 2.08 ~DFA3C.TMP
~DFF9D TMP 0 29/07/06 2.08 ~DFF9D.TMP
TWAIN LOG 93.284 28/07/06 21.10 TWAIN.LOG
TWAIN001 MTX 3 28/07/06 20.57 Twain001.Mtx
TWUNK001 MTX 156 28/07/06 20.57 Twunk001.MTX
TWUNK002 MTX 0 28/07/06 15.40 Twunk002.MTX
G3 DAT 138.240 27/07/06 13.54 g3.dat
~DF8DB TMP 0 27/07/06 13.24 ~DF8DB.TMP
~WRF3144 TMP 169.984 27/07/06 13.24 ~WRF3144.tmp
~DF8E1 TMP 0 27/07/06 13.24 ~DF8E1.TMP
~WRS1911 TMP 28.160 27/07/06 13.24 ~WRS1911.tmp
~DF313B TMP 0 27/07/06 12.53 ~DF313B.TMP
~WRF0004 TMP 169.984 27/07/06 12.53 ~WRF0004.tmp
~DF97EF TMP 1.536 27/07/06 12.53 ~DF97EF.TMP
~DF9484 TMP 0 27/07/06 12.52 ~DF9484.TMP
~DF94D6 TMP 0 27/07/06 12.52 ~DF94D6.TMP
~DF977C TMP 0 27/07/06 12.52 ~DF977C.TMP
~DF97F4 TMP 0 27/07/06 12.52 ~DF97F4.TMP
~DF99D6 TMP 0 27/07/06 12.52 ~DF99D6.TMP
~WRF0003 TMP 169.984 27/07/06 12.51 ~WRF0003.tmp
~DF1C5C TMP 1.536 27/07/06 12.51 ~DF1C5C.TMP
~WRS0004 TMP 544 27/07/06 12.51 ~WRS0004.tmp
~DF1C5D TMP 0 27/07/06 12.50 ~DF1C5D.TMP
~DF1E38 TMP 0 27/07/06 12.50 ~DF1E38.TMP
~DF1902 TMP 0 27/07/06 12.50 ~DF1902.TMP
~DF1951 TMP 0 27/07/06 12.50 ~DF1951.TMP
~DF1BE5 TMP 0 27/07/06 12.50 ~DF1BE5.TMP
~WRF0002 TMP 169.984 27/07/06 12.49 ~WRF0002.tmp
~DF7876 TMP 1.536 27/07/06 12.49 ~DF7876.TMP
~WRS0003 TMP 544 27/07/06 12.49 ~WRS0003.tmp
~DF7808 TMP 0 27/07/06 12.48 ~DF7808.TMP
~DF7877 TMP 0 27/07/06 12.48 ~DF7877.TMP
~DF7A68 TMP 0 27/07/06 12.48 ~DF7A68.TMP
~DF74FF TMP 0 27/07/06 12.48 ~DF74FF.TMP
~DF754F TMP 0 27/07/06 12.48 ~DF754F.TMP
~WRF0001 TMP 169.984 27/07/06 12.48 ~WRF0001.tmp
~DFBFF TMP 1.536 27/07/06 12.48 ~DFBFF.TMP
~WRS0002 TMP 544 27/07/06 12.48 ~WRS0002.tmp
~DFB89 TMP 0 27/07/06 12.48 ~DFB89.TMP
~DFC01 TMP 0 27/07/06 12.48 ~DFC01.TMP
~DFE04 TMP 0 27/07/06 12.48 ~DFE04.TMP
~DF899 TMP 0 27/07/06 12.48 ~DF899.TMP
~DF8EA TMP 0 27/07/06 12.48 ~DF8EA.TMP
~WRF0000 TMP 169.984 27/07/06 12.48 ~WRF0000.tmp
~DF89D7 TMP 1.536 27/07/06 12.48 ~DF89D7.TMP
~WRS0001 TMP 544 27/07/06 12.48 ~WRS0001.tmp
~DF9467 TMP 0 27/07/06 12.47 ~DF9467.TMP
~DF89D8 TMP 0 27/07/06 12.47 ~DF89D8.TMP
~DF7BF8 TMP 0 27/07/06 12.47 ~DF7BF8.TMP
~DF6E37 TMP 0 27/07/06 12.47 ~DF6E37.TMP
~DF725D TMP 0 27/07/06 12.47 ~DF725D.TMP
73 file 1.652.355 byte
0 dir Spazio disponibile 7.730.75 MB

DW.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\WINDOWS

WIN386 SWP 167.772.160 03/08/06 19.57 WIN386.SWP
USER DAT 1.093.664 03/08/06 19.57 USER.DAT
SYSTEM DAT 2.166.816 03/08/06 19.54 SYSTEM.DAT
SYSTEM INI 2.298 03/08/06 19.43 SYSTEM.INI
WAVEMIX INI 54 03/08/06 19.43 WAVEMIX.INI
POWERPNT INI 60 03/08/06 19.43 POWERPNT.INI
MOTORO~1 LOG 1.323 03/08/06 19.42 Motorola SM56 PCI Speakerphone Modem.log
JEPPO PWL 762 03/08/06 19.42 JEPPO.PWL
CLASSES DAT 4.538.400 03/08/06 19.41 CLASSES.DAT
STI_TR~1 LOG 76.630 03/08/06 19.41 Sti_Trace.log
WIASERVC LOG 50 03/08/06 19.41 wiaservc.log
SCHEDLOG TXT 26.313 03/08/06 19.41 SchedLog.Txt
NOHIBER TXT 90 03/08/06 19.41 NOHIBER.TXT
NDISLOG TXT 0 03/08/06 19.40 NDISLOG.TXT
SHELLI~1 742.022 03/08/06 2.28 ShellIconCache
WINDOW~1 LOG 85.211 03/08/06 2.28 Windows Update.log
IE4ERR~1 TXT 1.019 03/08/06 2.23 IE4 Error Log.txt
FAULTLOG TXT 12.416 03/08/06 2.22 Faultlog.txt
TTFCACHE 27.698 02/08/06 1.21 ttfCache
SYSTEM CB 116 02/08/06 1.07 SYSTEM.CB
WININI~1 OLD 1.652 02/08/06 0.31 wininitlog.old
WININIT BAK 709 02/08/06 0.30 WININIT.BAK
1164 TMP 63.657 01/08/06 19.17 1164.TMP
9091 TMP 62.821 31/07/06 21.09 9091.TMP
HMIKP1 UPD 62.821 31/07/06 21.09 HMIKP1.upd
MSRSTR DAT 146 31/07/06 1.10 msrstr.dat
PLUS! BMP 481.142 31/07/06 1.08 Plus!.bmp
WIN INI 9.174 31/07/06 1.06 WIN.INI
ACTIVE~1 TXT 2.350 27/07/06 3.05 Active Setup Log.txt
ACTIVE~1 BAK 972 27/07/06 0.49 Active Setup Log.BAK
SETUPAPI LOG 517.020 27/07/06 0.47 setupapi.log
RESUME TXT 24 25/07/06 13.42 RESUME.TXT
SCOPAF~1 INI 60 25/07/06 12.53 SCOPAFREE.INI
SOL INI 38 21/07/06 21.54 SOL.INI
VMINST LOG 2.098 20/07/06 2.18 vminst.log
WINMINE INI 178 17/07/06 14.06 winmine.ini
STREAM~1 DLL 59.392 17/07/06 1.28 streamhlp.dll
PAVSIG TXT 32 14/07/06 19.15 pavsig.txt
MODEMCPL TXT 10.169 07/07/06 6.58 ModemCpl.txt
WTNSETUP INI 0 06/07/06 18.10 WTNSETUP.INI
WFXINST LOG 26.391 06/07/06 18.10 WFXINST.LOG
WFXDEL BAT 41 06/07/06 18.06 WFXDEL.BAT
CONTROL INI 990 03/07/06 21.56 CONTROL.INI
WMSETUP LOG 92.859 29/06/06 22.13 wmsetup.log
INSTAL~1 EXE 549.888 25/06/06 17.29 installazione.exe
BRNDLOG TXT 9.560 25/06/06 15.14 brndlog.txt
WMSYSPR9 PRX 316.640 25/06/06 15.11 WMSysPr9.prx
HWINFO DAT 221.216 25/06/06 15.10 HWINFO.DAT
ODBCINST INI 1.821 25/06/06 15.09 ODBCINST.INI
RUNONC~1 TXT 21.709 25/06/06 15.09 RunOnceEx Log.txt
FOLDER HTT 23.226 25/06/06 15.09 folder.htt
DESKTOP INI 271 25/06/06 15.09 desktop.ini
BRNDLOG BAK 141 25/06/06 15.08 brndlog.bak
PROGMAN INI 0 25/06/06 15.08 progman.ini
QTW INI 28 25/06/06 15.01 QTW.INI
MSOFFICE INI 26 25/06/06 15.01 MSOFFICE.INI
SETVER EXE 19.227 25/06/06 15.00 SETVER.EXE
WINSOCK DLL 21.520 25/06/06 14.59 WINSOCK.DLL
WIN --- 8.809 25/06/06 14.47 WIN.---
SYSTEM --- 2.167 25/06/06 14.41 SYSTEM.---
POWERPNT --- 60 25/06/06 14.41 POWERPNT.---
DIRECTX LOG 94.768 24/06/06 20.11 Directx.log
WININIT SAV 5.826 24/06/06 19.49 WININIT.SAV
DXWININI BAK 277 24/06/06 18.50 dxwinini.bak
EPIUII4G WAT 10.548 22/06/06 21.49 EPIUII4G.WAT
EPSTPLOG TXT 26.622 22/06/06 21.46 EPSTPLOG.TXT
ODBC INI 1.069 22/06/06 2.00 ODBC.INI
DAHOTFIX LOG 2.964 22/06/06 1.50 dahotfix.log
OEWABLOG TXT 1.547 22/06/06 0.06 OEWABLog.txt
RUN32A50 MCH 19.469 21/06/06 20.52 Run32A50.mch
WINFILE INI 0 21/06/06 20.45 winfile.ini
A5W INI 35 21/06/06 20.24 A5W.INI
ASCD_TMP INI 2.151 21/06/06 19.53 ascd_tmp.ini
WINSTART BAT 26 21/06/06 19.51 winstart.bat
TMPCPYIS BAT 135 21/06/06 19.51 tmpcpyis.bat
TMPDELIS BAT 122 21/06/06 19.51 tmpdelis.bat
WIN5001 TMP 47 20/06/06 1.36 WIN5001.TMP
VBADDIN INI 35 20/06/06 1.25 vbaddin.ini
WPLOG TXT 0 20/06/06 1.21 wplog.txt
BDOSCA~1 EXE 53.248 25/05/06 1.22 bdoscandel.exe
HH EXE 10.752 13/04/05 17.06 hh.exe
BDOSCA~1 INI 453 01/03/05 15.30 bdoscandellang.ini
VGXUNI~1 EXE 33.792 06/11/03 17.44 vgxuninst.exe
OEUNINST EXE 33.792 07/07/03 14.05 oeuninst.exe
IEUNINST EXE 33.792 03/03/03 15.26 ieuninst.exe
WJVIEW EXE 171.792 28/02/03 18.26 WJVIEW.EXE
JVIEW EXE 172.304 28/02/03 18.26 JVIEW.EXE
SETDEBUG EXE 46.352 28/02/03 18.26 SETDEBUG.EXE
CLSPACK EXE 49.424 28/02/03 18.26 CLSPACK.EXE
JAUTOEXP DAT 6.550 28/02/03 16.35 JAUTOEXP.DAT
WUAURES DLL 106.496 16/09/02 9.41 WUAURES.DLL
WUAUBOOT EXE 106.496 16/09/02 9.41 WUAUBOOT.EXE
WUAUCLT EXE 184.320 16/09/02 9.41 WUAUCLT.EXE
EUROCONV INF 1.840 31/10/01 9.47 EUROCONV.INF
WSCRIPT EXE 118.834 26/06/01 17.53 WSCRIPT.EXE
PROGRAMM TXT 34.360 22/06/00 18.53 PROGRAMM.TXT
STAMPANT TXT 28.292 22/06/00 18.53 STAMPANT.TXT
HWINFO EXE 114.688 08/06/00 17.00 HWINFO.EXE
PIDGEN DLL 29.376 08/06/00 17.00 PIDGEN.DLL
SUBACK16 BIN 122.998 08/06/00 17.00 SUBACK16.BIN
WIN1024 BIN 18.720 08/06/00 17.00 WIN1024.BIN
WIN640 BIN 7.788 08/06/00 17.00 WIN640.BIN
WIN800 BIN 11.664 08/06/00 17.00 WIN800.BIN
LICENSE TXT 24.213 08/06/00 17.00 LICENSE.TXT
SUPPORT TXT 1.044 08/06/00 17.00 SUPPORT.TXT
RUNHELP CAB 6.325 08/06/00 17.00 RUNHELP.CAB
SCRIPT DOC 38.400 08/06/00 17.00 SCRIPT.DOC
EXTRAC32 EXE 132.608 08/06/00 17.00 EXTRAC32.EXE
FONTVIEW EXE 49.152 08/06/00 17.00 FONTVIEW.EXE
GRPCONV EXE 49.152 08/06/00 17.00 GRPCONV.EXE
NETCONN EXE 131.584 08/06/00 17.00 NETCONN.EXE
PIDSET EXE 40.960 08/06/00 17.00 PIDSET.EXE
SIGVERIF EXE 98.304 08/06/00 17.00 SIGVERIF.EXE
TUNEUP EXE 106.496 08/06/00 17.00 TUNEUP.EXE
UPWIZUN EXE 61.440 08/06/00 17.00 UPWIZUN.EXE
WINCOOL EXE 57.344 08/06/00 17.00 WINCOOL.EXE
BACKGRND GIF 103.582 08/06/00 17.00 BACKGRND.GIF
CLOUD GIF 11.306 08/06/00 17.00 CLOUD.GIF
HLPBELL GIF 1.407 08/06/00 17.00 HLPBELL.GIF
HLPCD GIF 1.492 08/06/00 17.00 HLPCD.GIF
HLPGLOBE GIF 1.603 08/06/00 17.00 HLPGLOBE.GIF
HLPLOGO GIF 1.185 08/06/00 17.00 HLPLOGO.GIF
HLPSTEP1 GIF 1.107 08/06/00 17.00 HLPSTEP1.GIF
HLPSTEP2 GIF 1.154 08/06/00 17.00 HLPSTEP2.GIF
HLPSTEP3 GIF 1.249 08/06/00 17.00 HLPSTEP3.GIF
WINLOGO GIF 4.963 08/06/00 17.00 WINLOGO.GIF
HTMLHELP HTM 520 08/06/00 17.00 HTMLHELP.HTM
LEGGIMI HTM 627 08/06/00 17.00 LEGGIMI.HTM
READM_01 HTZ 575 08/06/00 17.00 READM_01.HTZ
READM_02 HTZ 4.000 08/06/00 17.00 READM_02.HTZ
HTMLHELP INI 3.598 08/06/00 17.00 HTMLHELP.INI
DOSPRMPT PIF 545 08/06/00 17.00 DOSPRMPT.PIF
FAQ TXT 13.128 08/06/00 17.00 FAQ.TXT
GENERAL TXT 27.985 08/06/00 17.00 GENERAL.TXT
HARDWARE TXT 29.525 08/06/00 17.00 HARDWARE.TXT
MOUSE TXT 4.278 08/06/00 17.00 MOUSE.TXT
RETE TXT 8.092 08/06/00 17.00 RETE.TXT
SCHERMO TXT 27.676 08/06/00 17.00 SCHERMO.TXT
TIPS TXT 15.545 08/06/00 17.00 TIPS.TXT
NETDET INI 7.885 08/06/00 17.00 NETDET.INI
SCANREGW EXE 126.976 08/06/00 17.00 SCANREGW.EXE
SMARTDRV EXE 45.379 08/06/00 17.00 SMARTDRV.EXE
HIMEM SYS 33.191 08/06/00 17.00 HIMEM.SYS
RAMDRIVE SYS 12.759 08/06/00 17.00 RAMDRIVE.SYS
NET EXE 357.750 08/06/00 17.00 NET.EXE
NET MSG 112.304 08/06/00 17.00 NET.MSG
NETH MSG 73.932 08/06/00 17.00 NETH.MSG
LOGOS SYS 129.078 08/06/00 17.00 LOGOS.SYS
NETWORKS 396 08/06/00 17.00 NETWORKS
PROTOCOL 846 08/06/00 17.00 PROTOCOL
SERVICES 6.070 08/06/00 17.00 SERVICES
1STBOOT BMP 1.518 08/06/00 17.00 1STBOOT.BMP
CERCHI BMP 190 08/06/00 17.00 Cerchi.bmp
ONDE BMP 190 08/06/00 17.00 Onde.bmp
PIRAMIDI BMP 198 08/06/00 17.00 Piramidi.bmp
MAIOLICA BMP 578 08/06/00 17.00 Maiolica.bmp
SCREEN~1 SCR 72.464 08/06/00 17.00 Screen Saver canale.SCR
WIN COM 18.551 08/06/00 17.00 WIN.COM
INETMIB1 DLL 53.248 08/06/00 17.00 INETMIB1.DLL
MORICONS DLL 84.424 08/06/00 17.00 MORICONS.DLL
MSOWS409 DLL 125.168 08/06/00 17.00 MSOWS409.DLL
MSOWS410 DLL 127.032 08/06/00 17.00 MSOWS410.DLL
NDDEAPI DLL 14.187 08/06/00 17.00 NDDEAPI.DLL
NDDENB DLL 10.992 08/06/00 17.00 NDDENB.DLL
SNMPAPI DLL 32.768 08/06/00 17.00 SNMPAPI.DLL
TWAIN_32 DLL 60.176 08/06/00 17.00 TWAIN_32.DLL
CALC EXE 98.576 08/06/00 17.00 CALC.EXE
ARP EXE 28.672 08/06/00 17.00 ARP.EXE
ASD EXE 61.440 08/06/00 17.00 ASD.EXE
ATMADM EXE 16.384 08/06/00 17.00 ATMADM.EXE
CDPLAYER EXE 32.768 08/06/00 17.00 CDPLAYER.EXE
CLEANMGR EXE 110.592 08/06/00 17.00 CLEANMGR.EXE
CONTROL EXE 2.203 08/06/00 17.00 CONTROL.EXE
CVTAPLOG EXE 77.824 08/06/00 17.00 CVTAPLOG.EXE
DEFRAG EXE 212.731 08/06/00 17.00 DEFRAG.EXE
DIRECTCC EXE 73.728 08/06/00 17.00 DIRECTCC.EXE
DVDPLAY EXE 15.120 08/06/00 17.00 DVDPLAY.EXE
DVDRGN EXE 57.344 08/06/00 17.00 DVDRGN.EXE
EMM386 EXE 126.263 08/06/00 17.00 EMM386.EXE
FTP EXE 45.056 08/06/00 17.00 FTP.EXE
MM2ENT EXE 32.768 08/06/00 17.00 MM2ENT.EXE
NBTSTAT EXE 27.920 08/06/00 17.00 NBTSTAT.EXE
NETDDE EXE 56.896 08/06/00 17.00 NETDDE.EXE
NETSTAT EXE 32.768 08/06/00 17.00 NETSTAT.EXE
NOTEPAD EXE 57.344 08/06/00 17.00 NOTEPAD.EXE
PACKAGER EXE 81.920 08/06/00 17.00 PACKAGER.EXE
PING EXE 24.576 08/06/00 17.00 PING.EXE
PMRES EXE 40.960 08/06/00 17.00 PMRES.EXE
PMTS EXE 40.960 08/06/00 17.00 PMTS.EXE
PROGMAN EXE 113.563 08/06/00 17.00 PROGMAN.EXE
REGEDIT EXE 131.072 08/06/00 17.00 REGEDIT.EXE
RG2CATDB EXE 40.960 08/06/00 17.00 RG2CATDB.EXE
ROUTE EXE 27.408 08/06/00 17.00 ROUTE.EXE
RUNDLL EXE 5.083 08/06/00 17.00 RUNDLL.EXE
RUNDLL32 EXE 24.576 08/06/00 17.00 RUNDLL32.EXE
SCANDSKW EXE 5.131 08/06/00 17.00 SCANDSKW.EXE
TASKMAN EXE 49.152 08/06/00 17.00 TASKMAN.EXE
TELNET EXE 78.608 08/06/00 17.00 TELNET.EXE
TRACERT EXE 20.480 08/06/00 17.00 TRACERT.EXE
TWUNK_32 EXE 35.088 08/06/00 17.00 TWUNK_32.EXE
WINMINE EXE 24.315 08/06/00 17.00 WINMINE.EXE
WINFILE EXE 155.963 08/06/00 17.00 WINFILE.EXE
WINHELP EXE 2.523 08/06/00 17.00 WINHELP.EXE
WINHLP32 EXE 323.584 08/06/00 17.00 WINHLP32.EXE
WININIT EXE 46.521 08/06/00 17.00 WININIT.EXE
WINIPCFG EXE 49.152 08/06/00 17.00 WINIPCFG.EXE
WINPOPUP EXE 27.899 08/06/00 17.00 WINPOPUP.EXE
WINVER EXE 3.771 08/06/00 17.00 WINVER.EXE
WRITE EXE 20.480 08/06/00 17.00 WRITE.EXE
WUPDMGR EXE 57.344 08/06/00 17.00 WUPDMGR.EXE
WINUPD ICO 10.134 08/06/00 17.00 WINUPD.ICO
IOS INI 12.484 08/06/00 17.00 IOS.INI
SCANREG INI 787 08/06/00 17.00 SCANREG.INI
WMPRFITA PRX 35.262 08/06/00 17.00 WMPRFITA.PRX
HOSTS SAM 736 08/06/00 17.00 HOSTS.SAM
LMHOSTS SAM 3.717 08/06/00 17.00 LMHOSTS.SAM
ASPI2HLP SYS 1.105 08/06/00 17.00 ASPI2HLP.SYS
CMD640X SYS 24.626 08/06/00 17.00 CMD640X.SYS
CMD640X2 SYS 20.901 08/06/00 17.00 CMD640X2.SYS
DBLBUFF SYS 2.614 08/06/00 17.00 DBLBUFF.SYS
IFSHLP SYS 3.708 08/06/00 17.00 IFSHLP.SYS
KEYB SYS 18.247 08/06/00 17.00 KEYB.SYS
NLSFUNC SYS 6.295 08/06/00 17.00 NLSFUNC.SYS
COMMAND COM 95.264 08/06/00 17.00 COMMAND.COM
TWAIN DLL 94.903 08/06/00 17.00 TWAIN.DLL
DRWATSON EXE 143.360 08/06/00 17.00 DRWATSON.EXE
DRVSPACE EXE 336.251 08/06/00 17.00 DRVSPACE.EXE
FREECELL EXE 28.843 08/06/00 17.00 FREECELL.EXE
HIDCI DLL 3.232 08/06/00 17.00 HIDCI.DLL
DIALER EXE 66.091 08/06/00 17.00 DIALER.EXE
MPLAYER EXE 159.744 08/06/00 17.00 MPLAYER.EXE
MSHEARTS EXE 122.555 08/06/00 17.00 MSHEARTS.EXE
PBRUSH EXE 20.480 08/06/00 17.00 PBRUSH.EXE
EXPLORER EXE 225.280 08/06/00 17.00 EXPLORER.EXE
MSDFMAP INI 1.405 08/06/00 17.00 MSDFMAP.INI
SOL EXE 171.671 08/06/00 17.00 SOL.EXE
TWUNK_16 EXE 49.680 08/06/00 17.00 TWUNK_16.EXE
DISPLAY SYS 13.239 08/06/00 17.00 DISPLAY.SYS
CANNETO BMP 590 08/06/00 17.00 Canneto.bmp
BOLLIC~1 BMP 2.118 08/06/00 17.00 Bollicine.bmp
CORNIC~1 BMP 582 08/06/00 17.00 Cornicetta.bmp
PIED-D~1 BMP 470 08/06/00 17.00 Pied-de-poule.bmp
MILLER~1 BMP 578 08/06/00 17.00 Mille righe.bmp
CHIODI~1 BMP 194 08/06/00 17.00 Chiodini blu.bmp
INTREC~1 BMP 182 08/06/00 17.00 Intreccio scuro.bmp
INSTAL~1 BMP 308.280 08/06/00 17.00 Installazione.bmp
IPCONFIG EXE 49.152 08/06/00 17.00 IPCONFIG.EXE
TASKMON EXE 28.672 08/06/00 17.00 TASKMON.EXE
KODAKIMG EXE 536.576 08/06/00 17.00 KODAKIMG.EXE
KODAKPRV EXE 114.688 08/06/00 17.00 KODAKPRV.EXE
SNDREC32 EXE 114.688 08/06/00 17.00 SNDREC32.EXE
SNDVOL32 EXE 73.728 08/06/00 17.00 SNDVOL32.EXE
STIASPI DLL 40.960 01/06/00 9.17 stiaspi.dll
SCANUSD DLL 61.440 11/05/00 0.30 scanusd.dll
UNUSBDRV EXE 151.552 03/03/00 14.55 UnUSBDrv.exe
CHECKING DLL 147.456 03/03/00 14.18 CHECKING.DLL
WMSYSPRX PRX 288.562 01/01/00 0.53 WMSysPrx.prx
TELEPHON INI 225 01/01/00 0.53 TELEPHON.INI
SYSTEM BAK 86 01/01/00 0.51 SYSTEM.BAK
STI_EV~1 LOG 0 01/01/00 0.50 Sti_Event.log
QTW --- 28 01/01/00 0.42 QTW.---
MSOFFICE --- 26 01/01/00 0.42 MSOFFICE.---
SM56SET EXE 57.344 12/11/99 16.26 SM56SET.EXE
CMF EXE 81.920 11/11/99 19.57 CMF.EXE
SM56HLPR EXE 413.696 11/11/99 9.29 SM56HLPR.EXE
SM56DX5 DLL 114.688 11/11/99 9.22 SM56DX5.DLL
SM56DX3 DLL 102.400 11/11/99 9.21 SM56DX3.DLL
SM56 REG 128.057 11/10/99 14.37 SM56.REG
REMOVESU CMF 356 30/09/99 15.04 REMOVESU.CMF
REGTLIB EXE 40.960 31/08/99 16.55 REGTLIB.EXE
POCELANG DLL 31.744 24/03/99 4.40 POCELANG.DLL
OSR2ASPI DLL 57.856 10/12/98 11.22 OSR2ASPI.DLL
ISUNINST EXE 306.688 29/10/98 15.45 IsUninst.exe
ISUN0410 EXE 327.168 06/10/98 18.57 IsUn0410.exe
GULP VXD 5.741 01/10/98 10.00 gulp.vxd
POCE98 DLL 195.072 23/09/98 10.10 POCE98.DLL
QFECHECK EXE 37.376 03/09/98 10.58 QFECheck.exe
MSCMS DLL 55.568 18/06/98 20.01 MSCMS.DLL
WINFAX INI 250 27/02/96 11.43 WINFAX.INI
279 file 191.520.142 byte
0 dir Spazio disponibile 7.730.77 MB

Dwtemp.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9
Directory di C:\WINDOWS\TEMP

FLAB322 TMP 0 03/08/06 0.27 flaB322.TMP
FLAB0A1 TMP 0 02/08/06 23.59 flaB0A1.TMP
FLAE212 TMP 0 02/08/06 23.46 flaE212.TMP
FLA1003 TMP 0 02/08/06 23.33 fla1003.TMP
FLAE321 TMP 0 02/08/06 23.14 flaE321.TMP
FLA6343 TMP 0 02/08/06 23.06 fla6343.TMP
FLAA1F1 TMP 0 02/08/06 19.26 flaA1F1.TMP
WWW6031 TMP 256 02/08/06 11.06 www6031.TMP
M 9.728 31/07/06 0.03 m
3013 TMP 9.728 31/07/06 0.03 3013.TMP
~WRF2398 TMP 169.984 29/07/06 2.09 ~WRF2398.tmp
~DFA708 TMP 1.536 29/07/06 2.09 ~DFA708.TMP
~DFA58A TMP 0 29/07/06 2.09 ~DFA58A.TMP
~DFA709 TMP 0 29/07/06 2.09 ~DFA709.TMP
~DFA927 TMP 0 29/07/06 2.09 ~DFA927.TMP
~DFA249 TMP 0 29/07/06 2.09 ~DFA249.TMP
~DFA2A7 TMP 0 29/07/06 2.09 ~DFA2A7.TMP
~WRF1646 TMP 169.984 29/07/06 2.08 ~WRF1646.tmp
~DF2C9C TMP 1.536 29/07/06 2.08 ~DF2C9C.TMP
~DF37D4 TMP 0 29/07/06 2.08 ~DF37D4.TMP
~DF2C9E TMP 0 29/07/06 2.08 ~DF2C9E.TMP
~DF1B66 TMP 0 29/07/06 2.08 ~DF1B66.TMP
~DFA3C TMP 0 29/07/06 2.08 ~DFA3C.TMP
~DFF9D TMP 0 29/07/06 2.08 ~DFF9D.TMP
TWAIN LOG 93.284 28/07/06 21.10 TWAIN.LOG
TWAIN001 MTX 3 28/07/06 20.57 Twain001.Mtx
TWUNK001 MTX 156 28/07/06 20.57 Twunk001.MTX
TWUNK002 MTX 0 28/07/06 15.40 Twunk002.MTX
G3 DAT 138.240 27/07/06 13.54 g3.dat
~DF8DB TMP 0 27/07/06 13.24 ~DF8DB.TMP
~WRF3144 TMP 169.984 27/07/06 13.24 ~WRF3144.tmp
~DF8E1 TMP 0 27/07/06 13.24 ~DF8E1.TMP
~WRS1911 TMP 28.160 27/07/06 13.24 ~WRS1911.tmp
~DF313B TMP 0 27/07/06 12.53 ~DF313B.TMP
~WRF0004 TMP 169.984 27/07/06 12.53 ~WRF0004.tmp
~DF97EF TMP 1.536 27/07/06 12.53 ~DF97EF.TMP
~DF9484 TMP 0 27/07/06 12.52 ~DF9484.TMP
~DF94D6 TMP 0 27/07/06 12.52 ~DF94D6.TMP
~DF977C TMP 0 27/07/06 12.52 ~DF977C.TMP
~DF97F4 TMP 0 27/07/06 12.52 ~DF97F4.TMP
~DF99D6 TMP 0 27/07/06 12.52 ~DF99D6.TMP
~WRF0003 TMP 169.984 27/07/06 12.51 ~WRF0003.tmp
~DF1C5C TMP 1.536 27/07/06 12.51 ~DF1C5C.TMP
~WRS0004 TMP 544 27/07/06 12.51 ~WRS0004.tmp
~DF1C5D TMP 0 27/07/06 12.50 ~DF1C5D.TMP
~DF1E38 TMP 0 27/07/06 12.50 ~DF1E38.TMP
~DF1902 TMP 0 27/07/06 12.50 ~DF1902.TMP
~DF1951 TMP 0 27/07/06 12.50 ~DF1951.TMP
~DF1BE5 TMP 0 27/07/06 12.50 ~DF1BE5.TMP
~WRF0002 TMP 169.984 27/07/06 12.49 ~WRF0002.tmp
~DF7876 TMP 1.536 27/07/06 12.49 ~DF7876.TMP
~WRS0003 TMP 544 27/07/06 12.49 ~WRS0003.tmp
~DF7808 TMP 0 27/07/06 12.48 ~DF7808.TMP
~DF7877 TMP 0 27/07/06 12.48 ~DF7877.TMP
~DF7A68 TMP 0 27/07/06 12.48 ~DF7A68.TMP
~DF74FF TMP 0 27/07/06 12.48 ~DF74FF.TMP
~DF754F TMP 0 27/07/06 12.48 ~DF754F.TMP
~WRF0001 TMP 169.984 27/07/06 12.48 ~WRF0001.tmp
~DFBFF TMP 1.536 27/07/06 12.48 ~DFBFF.TMP
~WRS0002 TMP 544 27/07/06 12.48 ~WRS0002.tmp
~DFB89 TMP 0 27/07/06 12.48 ~DFB89.TMP
~DFC01 TMP 0 27/07/06 12.48 ~DFC01.TMP
~DFE04 TMP 0 27/07/06 12.48 ~DFE04.TMP
~DF899 TMP 0 27/07/06 12.48 ~DF899.TMP
~DF8EA TMP 0 27/07/06 12.48 ~DF8EA.TMP
~WRF0000 TMP 169.984 27/07/06 12.48 ~WRF0000.tmp
~DF89D7 TMP 1.536 27/07/06 12.48 ~DF89D7.TMP
~WRS0001 TMP 544 27/07/06 12.48 ~WRS0001.tmp
~DF9467 TMP 0 27/07/06 12.47 ~DF9467.TMP
~DF89D8 TMP 0 27/07/06 12.47 ~DF89D8.TMP
~DF7BF8 TMP 0 27/07/06 12.47 ~DF7BF8.TMP
~DF6E37 TMP 0 27/07/06 12.47 ~DF6E37.TMP
~DF725D TMP 0 27/07/06 12.47 ~DF725D.TMP
73 file 1.652.355 byte
0 dir Spazio disponibile 7.730.77 MB

prefetch.txt
Il volume nell'unit… C non ha etichetta
Numero di serie del volume: 28F2-1FB9

Per il momento da un occhiata a questi, più tardi ti posto i log di HijackThis e di Regsearch.

Nel frattempo virIT mi ha cancellato di nuovo kgrp1.exe (da dove è rientrato?)
Con calma darò un altra occhiata ai file temporary di internet

03/08/2006 - 19:43:01

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\TEMP\kgrp1.exe Infetto da Trojan.Win32.Agent.ADM
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 37312.
Files Totali: 37312.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.


Per il momento ciao e grazie per la tua sempre costante e imperterrita disponibilità.

[Jeppo59]

L'ho visto entrare in diretta o riformarsi
Appena rientrato, ho acceso il PC e mi sono connesso a libero per vedere la posta.
Inserito l'username e la password, dopo qualche secondo, mi ha dato l'errore, ha cambiato pagina e mi ha richiesto di nuovo i dati.
Immessi i dati, mi ha aperto la pagina della posta e subito dopo pagina azzurra con errore:
VMM(01) + 000097E2 Errore : OD : 0028 : C000A 7E2
Premo il tasto per continuare
Immediatamente premo Ctll-Alt-Canc per aprire il task manager e chi ti trovo?
Kgrp1.exe
Subito dopo virIT mi segnala la presenza del virusBHO.Agent.AS in
C:\WINDOWS\HMIKP1.dll
e non riesce ad aprirlo per cancellarlo.
Ebbene si, si è riformato.
Dopo averti postato ieri sera, ho passato un po' di tempo tra i file temporary di internet e non mi era sembrato esserci nulla di particolare.
Oggi sono andato a vedere la data di creazione di Krgp1.exe e di HMIKP1.dll e corrisponde al momento dell'errore su libero, cioé alle 17.02
Aperto i file temporary di internet ho trovato tre file in corrispondenza di quell'ora:
Un file Shockwawe Flash Object: sicurezza.phtml&adv_target=_top
con questo indirizzo kilometrico:
http://adv-banner.libero.it/banners/liberoblog/C7044/f-secure_bg.swf?adv_link=http%3A//adserver.libero.it/cgi-bin/adv_clickbanner/id%3D56293%Btf%3D1%3Dsid%3D46278%Bfill%3DN53Bsite%3DMail%3Bkey%3D%Fhttp%3A//Internet.libero.it/adsl/sicurezza.phtml&adv_target=_

Un HTML Document: webmail.cgi?ID=la6kfGs1f56ZddGdisk4FPvxQltw0f6rD3Ghx3kMTf4akj&Act_Msgs=1&C_Folder=aW5ib3g=
con questo indirizzo:
http://wpop14.libero.it/cgi-bin/webmail.cgi?ID=la6kfGs1f56ZddGdsk4FPvxQltw0f6rD3Ghx3kMTf4akj&Act_Msgs=1&C_Folder=aW5ib3g=

Un altro HTML Document: toolbar.cgi?ID=la6kfGs1f56ZddGdsk4FPvxQltw0f6rD3Ghx3kMTf4akj
con questo indirizzo:
http://wpop14.libero.it/cgi-bin/toolbar.cgi?ID=la6kfGs1f56ZddGdisk4FPvxQltw0f6rD3Ghx3kMTf4akj

Un Filedi script JScript: file Shockwave Flash Object
con questo indirizzo:
http://wpop14.libero.it/xam_rc/template_lowend/css_js/toolbar.js

ed alcune immagini .gif

Non credo che il sito abbia nulla a chge vedere col virus, ma certamente c'è qualcosa che lo risveglia da dove è nascosto.

Mamma mia neanche da fidanzato scrivevo lettere così lunghe!!!

Lo sto facendo, perché spero di trovare qualcosa di utile anche per gli altri, così come tu dedichi il tuo tempo per noi.

Parlando con colleghi, amici e parenti, non immagini quanti sono stati colpiti da virus, ma molti di loro preferiscono formattare e reinstallare tutto.
Non credo sia la cosa più giusta, di sto' passo rischia di diventare settimanale!

A presto, ciao

[Jeppo59]

Sono sempre qua.

[Jeppo59]

Immagino che siate quasi tutti in ferie ed avete staccato la spina come è giusto sia.
Ma se per caso qualcuno per sbaglio da un'occhiata qui (magari Holy che già sa come stanno le cose), credo di aver scoperto una cosa interessante e cioé:
Ho rispettato la procedura per cancellare i virus ed apparentemente sono spariti tutti (kgrp1.exe, hmikp1.dll, hmikp1.upd, ulw.exe e linkoptimizer dalle installazioni e applicazioni fixandolo con hijackThis), ma con curiosità sono mandato nel registro ed alla voci
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{624D0FB4-B219-C18A-4851-0582B9382747}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{B93D13CD-33CC-3316-3575-38525E9F16FB}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{2C023FFB-F8A1-2DF8-F7D5-8604A4AD0AF7}\InprocServer32]
ho trovato ancora il file hmikp1.dll pronto forse ad essere richiamato da qualcosa!!!
Cosa devo fare?!!!
Spero che qualcuno accolga il mio appello.
Ciao

[chemicalbit]

Eh sì purtroppo (anzi, per loro fortuna!) alcuni sono partiti per le ferie.

Se ho ben capito (non ho letto i mesaggi precedenti, ai quali nei giorni scorsi davo solo un'occhiata veloce), quelle chiavi di rgistro contengono un valore che punta ad un file che tu ora hai eleiminato (e che contenva il virus).

Quidni ora non esiste più un file ocn quel nome, giusto?

Così a naso direi che quelle chiavi si potrebebro cancellare da cancellare, però non ho la minima idea di a cosa si riferiscano.
Vediamo se qualcuno più esperto su Windows ci può illuminare ...

[Jeppo59]

8) Si ho avuto conferma da suspectfile che i file che ho cancellato erano dei trojan e hmikp1.dll è relativo a linkoptimizer.
Adesso resta da stabilire cos'è che risveglia il file posizionato nelle chiavi di registro sopra indicate, poiché tutte le volte che l'ho ripreso, non ho visitato gli stessi siti e ne tantomeno ho visitato siti porno.
Quindi ci deve essere qualche chiave su internet che risveglia il "bastardo"!
Comunque aspetto qualche consiglio per eliminarlo in maniera efficace dal registro. (Vi ricordo il S.O. WindowsME)
A proposito, c'è la possibilità che mi abbia cambiato qualcosa, poichè non riesco ad installare IE6 con servicepack 1.
Mi ha dato prima questo errore:
Non è possibile scaricare i file necessari. È possibile che il sito Internet a cui ci si sta connettendo sia occupato, che la connessione a Internet sia lenta o che la connessione al provider di servizi Internet si sia interrotta.
Riprovare a effettuare la connessione in un secondo momento per completare il download, quando il traffico sul sito è meno intenso o quando è possibile ottenere una connessione più veloce.
Dopo sono riuscito a scaricarlo in inglese (che non mastico per niente) e mi ha dato questa risposta:
It appears you have the correct setup files, but the installation failed. Try closing down all other programs and try running Setup again. If that still does not work, contact Microsoft Product Support Services for additional help.

[chemicalbit]

Ma stando ai programmi che hai e che hai usato per "stanare" il maleware, attulemnte risulti ancora infetto, o (almeno apparentemente) sei pulito (finché non ti rinfetti)?

Quanto alla frase in inglese

[Jeppo59]