|
| Precedente :: Successivo |
| Autore |
Messaggio |
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
 Inviato: 28 Gen 2008 00:57 Oggetto: Ho un Generic.Zlob.826BDD71... cos'è? |
 |
|
Ciao,
l'ultima scansione fatta con BitDefender mi ha trovato due file infettati da virus che non ha saputo pulire nè spostare in quarantena.
Ecco il report:
| Citazione: | C:\System Volume Information\_restore{4BDCDC59-5E22-47E7-AFF9-8A7368AACA85}\RP463\A0109842.exe=>(NSIS o)=>zlib_nsis0008 Infected DeepScan:Generic.Zlob.826BDD71
C:\System Volume Information\_restore{4BDCDC59-5E22-47E7-AFF9-8A7368AACA85}\RP467\A0113906.exe=>(NSIS o)=>zlib_nsis0008 Infected DeepScan:Generic.Zlob.826BDD71
|
Volevo andare a vedere di che file si tratta, ma non so come arrivare alla cartella C:\System Volume Information... come si fa? 
E con questo virus che devo fare?
Grazie.
 |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 29 Gen 2008 11:24 Oggetto: |
|
|
Ciao Gavilan,
La cartella System Volume Information contiene il Ripristino di sistema.
Non ci puoi arrivare direttamente. Dovresti usare una distribuzione Linux per potervi accedere (che io sappia). 
Per eliminare quei files, puoi Disabilitare il ripristino di sistema.
Se vuoi fare un check-up al sistema, segui le istruzioni di questo topic per postare il log di combofix.  |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 29 Gen 2008 23:22 Oggetto: |
|
|
| bdoriano ha scritto: | | Ciao Gavilan, |
Ciao! 
| bdoriano ha scritto: | La cartella System Volume Information contiene il Ripristino di sistema.
Non ci puoi arrivare direttamente. Dovresti usare una distribuzione Linux per potervi accedere (che io sappia).
Per eliminare quei files, puoi Disabilitare il ripristino di sistema. |
Guarda, prima di leggere la tua risposta avevo provato a fare una scansione online, sempre con BitDefender: in questo modo è riuscito a eliminarmi quei file...
...solo che poi si sono ricreati da soli!
Quindi non serve a nulla eliminarli, bisogna trovare quel "qualcosa" che li ricrea automaticamente. 
Ti posto il log di combofix:
| Citazione: | ComboFix 08-01-29.3 - ... 2008-01-29 21.20.46.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.178 [GMT 1:00]
Eseguito da: C:\Documents and Settings\...\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Creati Da 2007-12-28 al 2008-01-29 )))))))))))))))))))))))))))))))))))
.
2008-01-29 21:35 . 2008-01-29 21:35 6,736 --a------ C:\WINDOWS\system32\drivers\PROCEXP90.SYS
2008-01-25 15:59 . 2008-01-25 15:59 <DIR> d-------- C:\Documents and Settings\...\Dati applicazioni\kantaris
2008-01-24 10:58 . 2008-01-24 17:03 14 --a------ C:\Documents and Settings\...\getfile.dat
2008-01-22 09:46 . 2008-01-22 09:47 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-18 16:17 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-01-18 16:16 . 2008-01-18 16:16 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-01-18 16:15 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-01-18 16:15 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-03 14:08 . 2008-01-03 14:08 <DIR> d-------- C:\Programmi\mp3DirectCut
2007-12-31 17:21 . 2007-12-31 17:21 <DIR> d-------- C:\Programmi\MP3 WAV Converter
2007-12-31 17:21 . 2007-12-31 17:28 2 --a------ C:\WINDOWS\system32\RICHTX.DEP
2007-12-31 14:34 . 2004-07-08 12:06 <DIR> d-------- C:\Programmi\AviSynth 2.5
2007-12-31 14:33 . 2005-02-12 23:00 186,880 -rahs---- C:\WINDOWS\system32\RLOgg.ax
2007-12-31 14:33 . 2005-01-17 23:26 179,200 -rahs---- C:\WINDOWS\system32\DiracSplitter.ax
2007-12-31 14:33 . 2005-02-05 23:00 92,672 -rahs---- C:\WINDOWS\system32\RLVorbisDec.ax
2007-12-31 14:33 . 2005-02-22 16:55 81,920 -rahs---- C:\WINDOWS\system32\aac_parser.ax
2007-12-31 14:33 . 2005-02-12 23:00 67,584 -rahs---- C:\WINDOWS\system32\RLTheoraDec.ax
2007-12-31 14:33 . 2005-02-12 23:00 51,712 -rahs---- C:\WINDOWS\system32\RLSpeexDec.ax
2007-12-31 14:13 . 2007-12-31 14:13 1,013 --a------ C:\WINDOWS\psmplay.ini
2007-12-31 14:11 . 2007-12-31 14:11 66 --a------ C:\WINDOWS\mmpoly.ini
2007-12-31 14:10 . 2007-12-31 14:11 <DIR> d-------- C:\Programmi\MobileMusic
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 07:44 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-31 13:34 66,560 ----a-w C:\WINDOWS\MOTA113.exe
2007-12-28 11:19 --------- d-----w C:\Programmi\Free FLV Converter
2007-12-19 16:15 --------- d-----w C:\Programmi\Samsung
2007-12-19 14:24 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2007-12-18 14:01 --------- d-----w C:\Documents and Settings\...\Dati applicazioni\FDRLab
2007-12-03 14:00 --------- d-----w C:\Programmi\File comuni\xing shared
2007-11-28 13:46 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avery
2007-11-23 09:19 139,008 ----a-w C:\WINDOWS\system32\guard32.dll.vir
2007-11-07 09:27 727,552 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 727,552 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:42 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,292,800 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-06-05 12:46 28,672 ----a-w C:\Documents and Settings\...\flv2avi.exe
2007-05-27 23:50 1,748,480 ----a-w C:\Documents and Settings\...\coder.dll
2005-12-30 19:10 225,280 ----a-w C:\Documents and Settings\...\xvidcore.dll
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{323d5e65-9ec7-481e-a888-5bbe30b80dfb}]
2007-12-08 16:14 1502232 --a------ C:\Programmi\ITALIA_version\tbITA1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{323D5E65-9EC7-481E-A888-5BBE30B80DFB}
[HKEY_CLASSES_ROOT\clsid\{323d5e65-9ec7-481e-a888-5bbe30b80dfb}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{323D5E65-9EC7-481E-A888-5BBE30B80DFB}"= C:\Programmi\ITALIA_version\tbITA1.dll [2007-12-08 16:14 1502232]
[HKEY_CLASSES_ROOT\clsid\{323d5e65-9ec7-481e-a888-5bbe30b80dfb}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:39 15360]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SynTPLpr"="C:\Programmi\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 19:57 98304]
"SynTPEnh"="C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 19:57 532480]
"PCMService"="C:\Programmi\Aspire Arcade\PCMService.exe" [2004-03-25 18:41 81920]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 07:32 208952]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-08 12:00 59392]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-08 12:00 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-08 12:00 455168]
"ATIPTA"="C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 21:10 339968]
"LManager"="C:\Programmi\Launch Manager\QtZgAcer.EXE" [2004-07-05 18:52 315392]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 11:08 172032]
"DeviceDiscovery"="C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 20:56 40960]
"AdaptecDirectCD"="C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-06-19 01:05 684032]
"avgnt"="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:48 249896]
"HP Component Manager"="C:\Programmi\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 241664]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"COMODO Firewall Pro"="C:\Programmi\Comodo\Firewall\cfp.exe" [2007-11-23 10:18 1481984]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2007-12-03 14:59 185896]
"BDNewsAgent"="c:\programmi\softwin\bitdefender8\bdnagent.exe" [2005-05-09 12:19 8192]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:39 15360]
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio rapido di HP Image Zone.lnk - C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe [2004-03-15 19:45:34 53248]
HP Digital Imaging Monitor.lnk - C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2004-03-15 19:08:06 241664]
Alice ti aiuta.lnk - C:\Programmi\Alice ti aiuta\bin\matcli.exe [2006-12-16 11:46:08 212992]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-10 12:21]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-10 12:21]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2007-11-23 10:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2007-11-23 10:19]
R1 SMBHC;Driver del controller host del bus di gestione sistema Microsoft;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 21:57]
R3 SMBBATT;Driver di Microsoft Smart Battery;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-04 08:07]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 07:58]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 08:08]
S4 Boonty Games;Boonty Games;"C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe" [2006-08-25 21:23]
.
Contenuto della cartella 'Scheduled Tasks'
"2008-01-28 22:34:24 C:\WINDOWS\Tasks\User_Feed_Synchronization-{820F0273-8B96-49FD-9457-9BC740C053CF}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 21:36:52
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Ora fine scansione: 2008-01-29 21.37.25
.
2008-01-15 21:22:13 --- E O F ---
|
E' preoccupante quel warning in rosso? 
Qui di seguito, come suggerito nel 3d da te segnalato, posto anche il log di hijackthis:
| Citazione: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.10.02, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Aspire Arcade\PCMService.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\programmi\softwin\bitdefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
C:\HijackThis\HiJackThis_v2 beta.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.ask.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programmi\softwin\bitdefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Use ViDown to download - C:\PROGRA~1\ViDown\vd_link.htm
O8 - Extra context menu item: ÓÃάÌÄ(ViDown)ÏÂÔØÊÓƵ - C:\Programmi\ViDown\vd_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106386687308
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192889389445
O17 - HKLM\System\CCS\Services\Tcpip\..\{4743F16E-7C65-4BB8-BDB7-02AAE3343211}: NameServer = 85.37.17.4 85.38.28.70
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 10444 bytes
|
Thanks...  |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Gen 2008 00:52 Oggetto: |
|
|
Tra l'altro 'sta sera il computer è lentissimo, persino ad aprire file che ho su disco fisso. 
La scansione online ci mette una vita e non riesce ad aggiornare l'antivirus (mi riferisco sempre a BitDefender). |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Gen 2008 13:54 Oggetto: |
|
|
Ciao Gavilan..
Scusa se mi intrometto 
Nel frattempo apri il task manager e controlla se è attivo un processo denominato Boonty. In caso positivo terminalo e vedi se intanto il PC va meglio. Sicuramente quel file l'hai scaricato tu, ma è malevolo. Successivamente lo elimineremo. Adesso per favore fai la scansione del PC con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 00:55 Oggetto: |
|
|
| Sante62 ha scritto: | Ciao Gavilan..
Scusa se mi intrometto |
Ma figurati! Anzi, grazie per l'interessamento. 
| Sante62 ha scritto: | | Nel frattempo apri il task manager e controlla se è attivo un processo denominato Boonty. In caso positivo terminalo e vedi se intanto il PC va meglio. Sicuramente quel file l'hai scaricato tu, ma è malevolo. Successivamente lo elimineremo. |
Nei processi attivi non c'è, però l'avevo notato anch'io nel log di combofix e mi ero chiesta "E 'sta roba che è?"
Tempo fa avevo scaricato un paio di giochini, ma non li avevo installati e non mi ricordo nemmeno più i nomi... può darsi che uno sia quello.
Allora lo butto?
| Sante62 ha scritto: | Adesso per favore fai la scansione del PC con Systemscan e posta il log generato come
indicato quì |
Fatto.
Ho dato un'occhiata e ho visto tanti di quei porn*.com o casinò*.com che lo sfondo del desktop è arrossito! 
Ma come caspita ci sono finiti?
E' possibile che sia colpa di FreeFlvConverter (che ora ho disinstallato, tanto per ora non mi serve più)?
Ho guardato anche nel regedit ed è pieno pure lì... ho iniziato a togliere qualcosa "a mano", ma ce ne sono troppi!
Be', comunque ecco il log di SystemScan.
report37.txt
Grazie... |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 10:18 Oggetto: |
|
|
| Gavilan ha scritto: | | Ho guardato anche nel regedit ed è pieno pure lì... ho iniziato a togliere qualcosa "a mano", ma ce ne sono troppi! |
'sta mattina ho provato a digitare regedit anche nell'altro pc, che sto usando anche in questo momento, e li ho trovati pure qui!
Ma se non mi connetto (quasi) mai con questo! 
A questo punto mi viene il sospetto che ho chiavetta o hd esterno infetti... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2008 10:21 Oggetto: |
|
|
| Gavilan ha scritto: |
Nei processi attivi non c'è, però l'avevo notato anch'io nel log di combofix e mi ero chiesta "E 'sta roba che è?"
Tempo fa avevo scaricato un paio di giochini, ma non li avevo installati e non mi ricordo nemmeno più i nomi... può darsi che uno sia quello.
Allora lo butto? |
Non subito, per non rischiare di impallare il PC, perchè come hai detto anche tu ci sono altre cose. Dammi il tempo di esaminare il report di Systemscan e poi ti dico cosa fare ok?
| Gavilan ha scritto: |
Ho dato un'occhiata e ho visto tanti di quei porn*.com o casinò*.com che lo sfondo del desktop è arrossito!
Ma come caspita ci sono finiti?
E' possibile che sia colpa di FreeFlvConverter (che ora ho disinstallato, tanto per ora non mi serve più)? |
Non conosco FreeFlvConverter, ma i casi sono due a mio avviso:
Hanno sfruttato qualche falla del PC, oppure si sono intromessi quando hai scaricato i giochi. Bene, ci risentiamo dopo per il report. |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 10:28 Oggetto: |
|
|
| Sante62 ha scritto: | Non conosco FreeFlvConverter, ma i casi sono due a mio avviso:
Hanno sfruttato qualche falla del PC, oppure si sono intromessi quando hai scaricato i giochi. Bene, ci risentiamo dopo per il report. |
FreeFlvConverter è un sw per cercare video su vari siti senza andare sui siti con il browser: lui li cerca, tu li scegli, li scarichi e puoi convertirne il formato.
Solo che, cercando Laurie Anderson (musica) mi ha trovato, per esempio, anche Pamela Anderson e altre cose anche più hot... non ho cliccato i link, ma magari si sono infiltrate da sole delle schifezze.
Comunque aspetto, quando hai tempo.
Grazie. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2008 12:20 Oggetto: |
|
|
| Gavilan ha scritto: | | Ho guardato anche nel regedit ed è pieno pure lì... ho iniziato a togliere qualcosa "a mano", ma ce ne sono troppi! |
Devi controllare che non sia una impostazione di Spybot Search & Destroy. Se è così puoi stare tranquilla; non ti fa entrare in quei siti. Per controllare puoi aprire il file hosts da questo percorso:
| Citazione: | | C:\WINDOWS\system32\drivers\etc |
Clicca col tasto destro sul file hosts->Apri e scegli il blocco note. Guarda se dopo i vari commenti ci sono riferimenti a Spybot. Se è così non c'è problema. Per disattivare questo devi farlo tramite le impostazioni di Spybot, riferendoti al file hosts. Se fai questo, devi mettere il file hosts in sola lettura.
| Gavilan ha scritto: |
'sta mattina ho provato a digitare regedit anche nell'altro pc, che sto usando anche in questo momento, e li ho trovati pure qui!
Ma se non mi connetto (quasi) mai con questo!
A questo punto mi viene il sospetto che ho chiavetta o hd esterno infetti... |
Potrebbe essere la stessa cosa. Poi controlleremo anche l'altro PC..Nel frattempo puoi guardare anche quì il file hosts..
Ho dato una occhiata al log e mi sembra sostanzialmente pulito, a meno che non mi sfugga qualcosa. Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\yv12vfw.dll |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato con un log aggiornato di hijackthis. Elimina anche la cartella boonty shared manualmente.
Dopo collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato. |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 12:27 Oggetto: |
|
|
| Sante62 ha scritto: | | Gavilan ha scritto: | | Ho guardato anche nel regedit ed è pieno pure lì... ho iniziato a togliere qualcosa "a mano", ma ce ne sono troppi! |
Devi controllare che non sia una impostazione di Spybot Search & Destroy. Se è così puoi stare tranquilla; non ti fa entrare in quei siti. Per controllare puoi aprire il file hosts da questo percorso:
| Citazione: | | C:\WINDOWS\system32\drivers\etc |
Clicca col tasto destro sul file hosts->Apri e scegli il blocco note. Guarda se dopo i vari commenti ci sono riferimenti a Spybot. Se è così non c'è problema. Per disattivare questo devi farlo tramite le impostazioni di Spybot, riferendoti al file hosts. Se fai questo, devi mettere il file hosts in sola lettura. |
Ehm sì, sono cose di Spybot... vero che li ricreerà anche se li ho cancellati?
Adesso seguo il resto delle tue indicazioni |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 12:38 Oggetto: |
|
|
Ecco il log di avenger, sembra che non abbia incontrato problemi:
| Citazione: | Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\myvfjvyj
*******************
Script file located at: \??\C:\WINDOWS\system32\jbcvorhp.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe deleted successfully.
File C:\WINDOWS\system32\x.264.exe deleted successfully.
File C:\WINDOWS\system32\i420vfw.dll deleted successfully.
File C:\WINDOWS\system32\yv12vfw.dll deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
E questo è hijackthis:
| Citazione: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.37.21, on 31/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Aspire Arcade\PCMService.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\programmi\softwin\bitdefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HijackThis\HiJackThis_v2 beta.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.ask.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:\Programmi\ITALIA_version\tbITA1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programmi\softwin\bitdefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Use ViDown to download - C:\PROGRA~1\ViDown\vd_link.htm
O8 - Extra context menu item: ÓÃάÌÄ(ViDown)ÏÂÔØÊÓƵ - C:\Programmi\ViDown\vd_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106386687308
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192889389445
O17 - HKLM\System\CCS\Services\Tcpip\..\{4743F16E-7C65-4BB8-BDB7-02AAE3343211}: NameServer = 85.37.17.4 85.38.28.70
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 10356 bytes
|
Tra un po' faccio la scansione con Kaspesky, ma...
| Citazione: | Dopo collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet. |
Quindi la scansione non è online? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2008 12:52 Oggetto: |
|
|
OK, avenger ha fatto il lavoro...Aspetto il risultato di Kaspersky..
| Gavilan ha scritto: |
Ehm sì, sono cose di Spybot... vero che li ricreerà anche se li ho cancellati? |
Credo di si... puoi comunque dare un occhiata tramite il regedit... |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2008 18:00 Oggetto: |
|
|
| Gavilan ha scritto: |
Tra un po' faccio la scansione con Kaspesky, ma...
| Citazione: | Dopo collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet. |
Quindi la scansione non è online? |
Certo che è online, ma una volta che ha scaricato i file necessari, e iniziata la scansione del PC non serve che rimani collegata...anche se il sito è sicuro..
Veniamo al risultato di Kasper...
alcuni file infetti si trovano nel ripristino di sistema quindi disattiva il ripristino di sistema; poi, ci sono questi file considerati sospetti:
| Citazione: | D:\HD3dic\Portatile 8luglio\metti du cd\STORIA orologio\lamontre.com.htm
D:\Nuova cartella hd\Portatile 8luglio\recupero\My Documents\SmitfraudFix\SmitfraudFix\Reboot.exe
D:\Nuova cartella hd\Portatile 8luglio\metti du cd\STORIA orologio\lamontre.com.htm |
Non sono dei virus ma riconosciuti come potenziali, ma se non ti hanno provocato problemi li puoi lasciar stare, tranne SmitfraudFix\Reboot.exe che sicuramente per il momento non ti servirà. Utilizza infine ATF Cleaner serve a ripulire la cache di internet.
Avvialo e clicca su Select All e poi su Empty selected. Fai la stessa cosa con Firefox o Opera se li hai installati come browser, dal menu principale di ATF Cleaner. Dimmi se riscontri ancora problemi...
|
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 20:57 Oggetto: |
|
|
Mhhh... ok, posso disattivarlo momentaneamente, ma non c'è modo di pulirlo?
Perché a volte mi è servito il ripristino di sistema, quindi non vorrei eliminarlo del tutto. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2008 22:44 Oggetto: |
|
|
| Gavilan ha scritto: | [
Mhhh... ok, posso disattivarlo momentaneamente, ma non c'è modo di pulirlo?
Perché a volte mi è servito il ripristino di sistema, quindi non vorrei eliminarlo del tutto. |
Si, si pulisce disattivandolo e poi si ripristina riattivandolo, cioè facendo la procedura inversa... |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 31 Gen 2008 23:01 Oggetto: |
|
|
| Sante62 ha scritto: | | Gavilan ha scritto: | [
Mhhh... ok, posso disattivarlo momentaneamente, ma non c'è modo di pulirlo?
Perché a volte mi è servito il ripristino di sistema, quindi non vorrei eliminarlo del tutto. |
Si, si pulisce disattivandolo e poi si ripristina riattivandolo, cioè facendo la procedura inversa... |
Grande!
Vado a disattivarlo subito.
Edit by Gavy:
Ok, ho disattivato il ripristino di sistema, ho fatto la pulizia con ATF Cleaner e adesso sto facendo ancora una scansione con Kaspersky online. (Il computer è offline, ne sto usando un altro per navigare)
Ti faccio sapere i risultati. |
|
| Top |
|
|
Gavilan
Dio maturo
Registrato: 19/12/06 00:09
Messaggi: 4109
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 01 Feb 2008 09:54 Oggetto: |
|
|
Eccomi qui.
Kaspersky non ha trovato virus nè file "sospetti": tutto pulito!
Ora posso riattivare il ripristino di sistema, giusto?
Suppongo che, visto che quando l'ho disattivato ha cancellato tutti i punti di ripristino, adesso non dovrebbe avere nemmeno più i virus... oppure devo pulirlo in altro modo?
Grazie.
Gavy  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 01 Feb 2008 10:42 Oggetto: |
 |
|
| Gavilan ha scritto: |
Ora posso riattivare il ripristino di sistema, giusto?: |
Esatto...
| Gavilan ha scritto: |
Suppongo che, visto che quando l'ho disattivato ha cancellato tutti i punti di ripristino, adesso non dovrebbe avere nemmeno più i virus... oppure devo pulirlo in altro modo?: |
No, che io sappia non c'è altro modo di pulirlo...comunque adesso non c'è pericolo che i virus si riattivino...
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
