Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Postumi infezione da Bagle
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 21 Lug 2008 21:54    Oggetto: Postumi infezione da Bagle Rispondi citando

Ciao a tutti,
ho un notebook con winXP sp2 reduce da una incredibile infezione da bagle.
1 - in "strumenti-opzioni cartella-visualizzazione" non appare più la voce con "non visualizzare/visualizza cartelle e files nascosti"
2 - all'avvio cerca di caricare il file Loader.exe (non trovandolo mi da messaggio di errore in una finestra con bottone). L'icona in basso è uguale a quella di messenger.
3 - quando clicco sull'icona del NAV o su quella delle NSW o su Spybot mi dice che non sono applicazioni Win 32 valide. L'eseguibile di superantispyware non c'è più.
Con avast in esecuzione e sempre aggiornato, con il firewall di windows attivo, con superantispyware in esecuzione, mi sono beccato una infezione incredibile da un file scaricato col mulo. Avendone la possibilità ho smontato l'harddisk da 80 GB e l'ho collegato con un adattatore come periferica usb a un altro computer con Norton aggiornatissimo e Zone alarm. Dopo 8 ore di scansione mi ha riparato 156 files infetti e due li ho cancellati manualmente.
Buttato avast e disattivato win-Firewal ho messo NSW e ZoneAlarm, per ora...
Ho cercato di riparare il registro con ELIBAGLA.BHØGBØØH.EXE, avenger, xptcprep, CCleaner (che però si è bloccato e ho dovuto chiudere). In avenger ho messo i seguenti comandi:
Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzx

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

Alla fine ho anche messo questi comandi:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd
files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
drivers to unload:
srosa
pci32

Ho risolto molti dei problemi che mi aveva causato non ultimo che non potevo riavviare in modalità provvisoria.
Mi sono rimasti mi pare solo i tre che ho indicati sopra.
Mi potete aiutare? Glub Confused
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 21 Lug 2008 23:03    Oggetto: postumi infezione da bagle Rispondi citando

Salve, scusate ma devo aggiungere ancora una cosa.
Anche se non posso far partire direttamente le NSW posso far partire il NAV col tasto destro e all'avvio mi parte l'aggiornamento automatico che funziona senza problemi.
Attendo con speranza, di nuovo
Leo
d'oh! Glub Sad
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 21 Lug 2008 23:40    Oggetto: Rispondi citando

Ciao leodis Ciao e benvenuto...

Vedo che ti sei portato avanti, complimenti! Wink

In Avenger però non bisogna duplicare i comandi, hai visto ciò che ha eliminato? Il log lo dovresti trovare in C:\Avenger.txt;

Fai la scansione con Combofix;
Virit;
Hijackthis;
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 22 Lug 2008 00:23    Oggetto: Rispondi citando

Ciao Ciao
adesso mi rendo conto che dovevo rinominare prima di far lavorare il programma con altri comandi questo pomeriggio, perchè ha cancellato quello che ha fatto la volta prima.
Comunque questo è quello che c'è nel file:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************
Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\windows\temp" deleted successfully.
Folder "C:\WINDOWS\Tasks" deleted successfully.

Error: folder "C:\WINDOWS\exefqd" not found!
Deletion of folder "C:\WINDOWS\exefqd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\hlpuybtr.exe" not found!
Deletion of file "c:\windows\system32\hlpuybtr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\hidrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\trusted.exe" not found!
Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\pci32.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\pci32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\srosa" not found!
Deletion of driver "srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pci32" not found!
Deletion of driver "pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************
Finished! Terminate.

Inoltre nei 152 virus che ha tolto erano:
W32.Beagle.EB, la parte del leone,
Trojan.Lodeight.C, parecchio anche lui
Hacktool.Rootkit, questi una sola voce
Downloader
W32.Selex.B@mm.
Per ora ti saluto e vado a letto
Ciao Leo Ciao
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 22 Lug 2008 17:06    Oggetto: Rispondi citando

Avenger non ha trovato nessun file; a meno che non erano stati già eliminati prima;

adesso fai le scansioni che ti ho suggerito...
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 22 Lug 2008 17:30    Oggetto: Rispondi citando

Salve a tutti,
ho risolto il problema della chiave "mostra/nascondi cartelle e files nascosti" scaricando in un posto un file reg che mi ha riparato il pc da questo problema. Poi avendo visto che era di NT e che mi cambiava la lingua e l'icona della chiave "Gestione di coppie di pagine Web e cartelle" ho controllato sull'altro computer e ho visto che quella chiave è uguale. Soluzione: ho esportato la chiave giusta per XP e adesso è tutto a posto.
Questa è la chiave:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]
"Type"="group"
"Text"="@shell32.dll,-30498"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51140"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ClassicViewState]
"Type"="checkbox"
"Text"="@shell32.dll,-30506"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ClassicViewState"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51076"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ControlPanelInMyComputer]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideMyComputerIcons"
"Text"="@shell32.dll,-30497"
"Type"="checkbox"
"ValueName"="{21EC2020-3AEA-1069-A2DD-08002B30309D}"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000001
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51150"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess]
"Type"="checkbox"
"Text"="@shell32.dll,-30507"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="SeparateProcess"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51079"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess\Policy\SeparateProcess]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DisableThumbCache]
"Type"="checkbox"
"Text"="@shell32.dll,-30517"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="DisableThumbnailCache"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51155"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FolderSizeTip]
"Type"="checkbox"
"Text"="@shell32.dll,-30514"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="FolderContentsInfoTip"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree]
"Type"="checkbox"
"Text"="@shell32.dll,-30511"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="FriendlyTree"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"HelpID"="shell.hlp#51149"
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="checkbox"
"Text"="@shell32.dll,-30503"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="HideFileExt"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler]
"Type"="checkbox"
"Text"="@shell32.dll,-30509"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="NoNetCrawling"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51147"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler\Policy\NoNetCrawling]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\PersistBrowsers]
"Type"="checkbox"
"Text"="@shell32.dll,-30513"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="PersistBrowsers"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"HelpID"="shell.hlp#51152"
"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowCompColor]
"Type"="checkbox"
"Text"="@shell32.dll,-30512"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowCompColor"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51130"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath]
"Type"="checkbox"
"Text"="@shell32.dll,-30504"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState"
"ValueName"="FullPath"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51100"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress]
"Type"="checkbox"
"Text"="@shell32.dll,-30505"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState"
"ValueName"="FullPathAddress"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51107"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowInfoTip]
"Type"="checkbox"
"Text"="@shell32.dll,-30502"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowInfoTip"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51102"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SimpleSharing]
"Type"="checkbox"
"Text"="@shell32.dll,-30518"
"HKeyRoot"=dword:80000002
"RegPath"="System\\CurrentControlSet\\Control\\LSA"
"ValueName"="ForceGuest"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"HelpID"="shell.hlp#51154"
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets]
"Text"="Gestione di coppie di pagine Web e cartelle"
"HelpID"="TBD"
"Type"="group"
"Bitmap"="c:\\WINDOWS\\System32\\\\SHELL32.DLL,4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\AUTO]
"CheckedValue"=dword:00000000
"Type"="radio"
"ValueName"="NoFileFolderConnection"
"HelpID"="TBD"
"Text"="Consente di visualizzare e gestire la coppia come un singolo file."
"DefaultValue"=dword:00000000
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer"
"HKeyRoot"=dword:80000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NOHIDE]
"ValueName"="NoFileFolderConnection"
"DefaultValue"=dword:00000000
"Text"="Consente di visualizzare entrambe le parti ma di gestirle come un singolo file."
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer"
"HelpID"="TBD"
"Type"="radio"
"CheckedValue"=dword:00000002
"HKeyRoot"=dword:80000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Thickets\NONE]
"CheckedValue"=dword:00000001
"Type"="radio"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer"
"HelpID"="TBD"
"ValueName"="NoFileFolderConnection"
"DefaultValue"=dword:00000000
"Text"="Consente di visualizzare entrambe le parti e di gestirle individualmente."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\WebViewBarricade]
"Type"="checkbox"
"Text"="@shell32.dll,-30510"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="WebViewBarricade"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"HelpID"="shell.hlp#51148"
"DefaultValue"=dword:00000000


Devo ancora risolvere il problema 2 e 3 ma sono fiducioso
Ciao
Leo
Laughing
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 23 Lug 2008 00:22    Oggetto: Rispondi citando

Ciao a tutti,
allora, ho provato la scansione con ccleaner ma è arrivto fino a una cartella dentro windows con su scritto "download", credo dentro "drivers", e contenente una ventina di file exe del tipo 123456789.exe con combinazioni sempre diverse. Lì si è bloccato tutto, ho dovuto alla fine (dopo un'ora) spegnere, ma la cartella non c'è più. Avevo già visto questa cartella con NAV ma non aveva rilevato nulla.

Poi ho fatto partire VirIT e questo è il log:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
22/07/2008 - 22:02:19

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Kayne\Impostazioni locali\Temp\Av-test.txt Infetto da EICAR-Test-File
Contattare il Supporto Tecnico TG Soft
C:\Programmi\Microsoft DirectX SDK (November 2007)\Samples\C++\Direct3D\Bin\x86\SkinnedMesh.exe Infetto da Win32.Cheburgen.A
Contattare il Supporto Tecnico TG Soft

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

D:\marco\Sviluppo_Software\Dispense\DX sdk\Samples\C++\Direct3D\Bin\x86\SkinnedMesh.exe Infetto da Win32.Cheburgen.A
Contattare il Supporto Tecnico TG Soft

[E:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[G:]


Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 242585.
Files Totali: 242585.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

Non ho cancellato quei file ma li ho rinominati e cambiato l'estensione perchè non sono sicuro siano virus (NAV non vede nulla) e il nome non compare nell'enciclopedia virus...
Magari sono un falso positivo.



Infine ho fatto partire HijackThis e questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36, on 2008-07-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Microsoft LifeCam\MSCamS32.exe
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\TortoiseSVN\bin\TSVNCache.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\vVX1000.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O1 - Hosts: 78.46.49.43 l2testauthd.lineage2.com
O1 - Hosts: 78.46.49.43 l2authd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - D:\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [EasyPHP] "C:\Programmi\EasyPHP 2.0b1\EasyPHP.exe"
O4 - HKLM\..\Run: [FLSDeviceControlPanel] C:\WINDOWS\system32\FLSDEVCP.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 10542 bytes

Infine ho notato che la chiamata iniziale al file loader che provoca l'apertura della finestra di errore è sicuramente legata a messenger, perchè questo parte solo dopo che ho pigiato OK.

I programmi NAV, MSW e Spybot continuano a non partire (applicaz. win32 non valida) e all'avvio l'icona di NAV a volte appare prima disabilitata ma quando si carica Zonealarm si riabilita, però non sempre.
Mi è venuto il sospetto che potrebbe dipendere se il modem adsl è attaccato o no. Verificherò.
Ho anche pensato che se il file Nmain.exe fosse corrotto potrei anche rimetterlo dall'altro computer che ho, ma credo sia più un problema di registro...

Come tutti quelli che vanno dal dottore, attendo un responso che spero favorevole
Leo Pray Rolling Eyes
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 23 Lug 2008 00:34    Oggetto: Rispondi citando

rettifico su Win32.Cheburgen.A, symantec lo chiama Win32/SillyDl.DEO
ciao
Leo
Pray Rolling Eyes
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Lug 2008 11:21    Oggetto: Rispondi citando

Sicuramente ci sono ancora residui del Bagle e altro;

E' importante che fai quest'altra operazione...

Sante62 ha scritto:

Fai la scansione con Combofix;
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 23 Lug 2008 16:46    Oggetto: Rispondi citando

Ciao,
ho appena fatto la scansione con combofix. Chiedo perdono ma non ho pensato a disattivare il NAV che mi ha buttato fuori parecchie finestre in cui rilevava attività maligna da parte di vari script di combofix. Alla fine sono riuscito a chiuderlo permettendo a combofix di finire, ma è stata dura.
Almeno so che NAV reagisce, anche se non si apre.
Queso è il log:

ComboFix 08-07-20.A0 - Kayne 2008-07-23 16:18:40.2 - FAT32x86
Eseguito da: C:\Documents and Settings\Kayne\Desktop\sCombo-Fix.exe

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\9019062.exe
C:\WINDOWS\system32\drivers\downld\9044703.exe
C:\WINDOWS\system32\drivers\downld\9048421.exe
C:\WINDOWS\system32\drivers\downld\9078765.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-06-23 al 2008-07-23 )))))))))))))))))))))))))))))))))))
.

2008-07-23 16:15 . 2008-07-23 16:17 2,656,017 --a------ C:\Temp\Combo-Fix.exe
2008-07-23 06:58 . 2008-07-23 06:58 <DIR> d--hs---- C:\FOUND.002
2008-07-22 23:05 . 2008-07-22 23:05 <DIR> d-------- C:\Hijackthis
2008-07-22 18:48 . 2008-07-22 18:48 <DIR> d-------- C:\Temp\viewtopic.php_files
2008-07-22 18:46 . 2008-07-22 18:46 <DIR> d-------- C:\VEXPLITE
2008-07-22 18:46 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-07-22 18:29 . 2008-07-22 18:31 30,957,832 --a------ C:\20080722-003-i32.exe
2008-07-22 15:35 . 2008-07-22 15:35 0 --a------ C:\ib5
2008-07-22 15:35 . 2008-07-22 15:35 0 --a------ C:\ib4
2008-07-22 15:35 . 2008-07-22 15:35 0 --a------ C:\ib3
2008-07-22 15:35 . 2008-07-22 15:35 0 --a------ C:\ib2
2008-07-21 16:41 . 2008-07-21 16:41 <DIR> d-------- C:\Programmi\CCleaner
2008-07-21 16:26 . 2008-07-21 16:26 <DIR> d-------- C:\Programmi\XP TCPIP Repair
2008-07-21 15:13 . 2008-07-21 15:13 <DIR> d--hs---- C:\FOUND.001
2008-07-21 07:09 . 2005-06-03 15:56 53,248 -ra------ C:\WINDOWS\UpdtNv28.exe
2008-07-21 07:01 . 2008-07-21 07:01 <DIR> d-------- C:\Programmi\SymNetDrv
2008-07-21 06:58 . 2008-07-21 06:58 <DIR> d-------- C:\Documents and Settings\NetworkService\Dati applicazioni\Symantec
2008-07-21 06:43 . 2008-07-21 06:43 <DIR> d-------- C:\Programmi\Norton SystemWorks
2008-07-21 06:43 . 2003-09-12 12:08 83,208 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-07-21 06:43 . 2003-09-12 12:08 82,136 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-07-21 06:27 . 2008-07-21 06:27 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-07-21 06:27 . 2008-07-21 06:27 <DIR> d-------- C:\Programmi\Zone Labs
2008-07-21 06:27 . 2002-04-15 17:35 0 --ah----- C:\WINDOWS\system32\vsconfig.xml
2008-07-21 06:26 . 2008-07-21 06:26 9,870 --a------ C:\WINDOWS\FastWeb.rtf
2008-07-21 06:26 . 2008-07-21 06:26 4,157 -ra------ C:\WINDOWS\FastWeb.ini
2008-07-21 06:26 . 2008-07-21 06:26 891 --a------ C:\WINDOWS\FWIPConf.out
2008-07-20 01:08 . 2008-07-20 01:08 <DIR> d--hs---- C:\FOUND.000
2008-07-20 00:40 . 2008-07-20 00:40 81,465 --a------ C:\WINDOWS\system32\drivers\klif.cab
2008-07-20 00:37 . 2008-07-20 00:57 94,208 --a------ C:\WINDOWS\DUMPde51.tmp
2008-07-19 02:06 . 2008-07-19 02:06 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2008-07-18 00:31 . 2008-07-18 00:31 <DIR> d-------- C:\Programmi\EASEUS
2008-07-17 20:12 . 2008-07-17 20:12 <DIR> d--h----- C:\WINDOWS\system32\drivers
2008-07-17 19:58 . 2008-07-17 19:58 <DIR> d-------- C:\WINDOWS\system32
2008-07-16 23:59 . 2008-07-16 23:59 0 --a------ C:\WINDOWS\system32\6NQ27h0Q.exe.a_a
2008-07-13 23:04 . 2008-07-13 23:04 <DIR> d-------- C:\Programmi\PC Inspector File Recovery
2008-07-13 23:04 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-07-13 22:48 . 2008-07-13 22:48 <DIR> d-------- C:\Programmi\Runtime Software
2008-07-12 20:11 . 2008-07-12 20:11 <DIR> d-------- C:\Programmi\eMule
2008-07-11 22:29 . 2003-09-12 10:26 646,784 --a------ C:\WINDOWS\system32\drivers\CnxEtU.sys
2008-07-11 22:29 . 2003-10-29 15:07 163,840 --a------ C:\WINDOWS\system32\CnxHwIo.dll
2008-07-11 22:29 . 2002-08-06 14:59 118,784 --a------ C:\WINDOWS\system32\CnxMfdCo.dll
2008-07-11 22:29 . 2001-10-03 14:08 118,784 --a------ C:\WINDOWS\system32\CnxClsCo.dll
2008-07-11 22:29 . 2003-10-29 15:02 108,675 --a------ C:\WINDOWS\system32\drivers\CnxTgN.sys
2008-07-11 22:29 . 2003-09-12 10:26 60,288 --a------ C:\WINDOWS\system32\drivers\CnxEtP.sys
2008-07-09 13:54 . 2008-07-09 13:54 <DIR> d-------- C:\WINDOWS\SQL9_KB948109_ENU
2008-07-08 19:41 . 2008-05-02 18:07 2,076,672 --a------ C:\WINDOWS\libmysql.dll
2008-07-07 23:33 . 2008-07-07 23:33 <DIR> d-------- C:\Programmi\MySQL
2008-07-07 22:34 . 2008-05-02 18:07 4,874,301 --a------ C:\WINDOWS\php5ts.dll
2008-07-07 22:33 . 2008-07-07 22:33 <DIR> d-------- C:\php
2008-07-07 22:28 . 2008-07-07 22:28 <DIR> d-------- C:\Programmi\Apache Group
2008-07-06 11:56 . 2008-07-06 11:56 <DIR> d-------- C:\Temp\Pagamento box esterni_files
2008-07-06 11:29 . 2008-07-06 11:29 <DIR> d-------- C:\Temp\Morstar Utility_files
2008-07-04 17:56 . 2008-07-04 17:56 <DIR> d-------- C:\Temp\EmoteMaker
2008-07-04 17:54 . 2008-07-04 17:55 4,117,710 --a------ C:\Temp\EmoteMaker.zip
2008-07-03 22:30 . 2008-07-03 22:30 <DIR> d-------- C:\Programmi\Lexmark 640 Series
2008-07-03 22:30 . 2006-04-17 19:42 311,296 --a------ C:\WINDOWS\system32\LEXBCES.EXE
2008-07-03 22:30 . 2006-04-17 19:41 201,216 --a------ C:\WINDOWS\system32\LEXP2P32.DLL
2008-07-03 22:30 . 2006-04-17 19:48 200,704 --a------ C:\WINDOWS\system32\lexlmpm.dll
2008-07-03 22:30 . 2006-04-17 19:42 198,144 --a------ C:\WINDOWS\system32\LEX2KUSB.DLL
2008-07-03 22:30 . 2006-04-17 19:41 174,592 --a------ C:\WINDOWS\system32\LEXPPS.EXE
2008-07-03 22:30 . 2006-04-17 19:41 147,456 --a------ C:\WINDOWS\system32\LEXBCE.DLL
2008-07-03 22:30 . 2006-05-11 06:14 73,728 --a------ C:\WINDOWS\system32\lxdapwr.dll
2008-07-03 22:28 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-03 22:28 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-03 22:10 . 2008-07-18 08:42 380 --a------ C:\WINDOWS\LEXSTAT.INI
2008-07-03 22:04 . 1997-04-18 11:51 298,496 --a------ C:\WINDOWS\unin0410.exe
2008-06-27 22:07 . 2001-11-23 21:40 65,536 --a------ C:\WINDOWS\system32\VNICPKT.DLL
2008-06-27 22:07 . 2001-07-26 14:02 16,202 --a------ C:\WINDOWS\system32\VNICPKT5.sys
2008-06-27 21:32 . 1998-11-13 13:07 307,712 --a------ C:\WINDOWS\IsUn0410.exe
2008-06-27 21:32 . 2003-02-25 14:30 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-06-27 21:32 . 2003-05-24 09:06 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-06-27 21:32 . 2002-10-24 10:07 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 23:18 688,128 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-22 23:18 122,880 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-07-21 22:31 100,864 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-07-19 05:33 70,144 ----a-w C:\WINDOWS\system32\dllcache\sysinfo.exe
2008-07-19 05:32 14,848 ----a-w C:\WINDOWS\system32\dllcache\register.exe
2008-07-19 04:56 2,932,736 ----a-w C:\WINDOWS\DUMPe29f.tmp
2008-07-19 00:32 94,208 ----a-w C:\WINDOWS\DUMP2bff.tmp
2008-07-19 00:10 69,632 ----a-w C:\WINDOWS\DUMP21e2.tmp
2008-06-22 16:46 --------- d-----w C:\Programmi\OE Viewer
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 21:44 --------- d-----w C:\Programmi\File comuni\Adobe AIR
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 15:11 48,640 ----a-w C:\WINDOWS\system32\inetwh32.dll
2008-06-11 15:11 45,056 ----a-w C:\WINDOWS\system32\EagleAPI.dll
2008-06-11 15:11 372,736 ----a-w C:\WINDOWS\system32\ogc7050r.dll
2008-06-11 15:11 317,952 ----a-w C:\WINDOWS\system32\roboex32.dll
2008-06-11 15:11 131,072 ----a-w C:\WINDOWS\system32\dzip32.dll
2008-06-11 15:11 110,592 ----a-w C:\WINDOWS\system32\dunzip32.dll
2008-06-11 15:11 1,675,264 ----a-w C:\WINDOWS\system32\og70nodbas.dll
2008-06-11 15:08 --------- d-----w C:\Programmi\Qwerty.Msi
2008-06-11 15:08 --------- d-----w C:\Documents and Settings\Kayne\Dati applicazioni\Qwerty.Msi
2008-06-11 14:58 --------- d-----w C:\Programmi\File comuni\Nokia
2008-06-10 17:02 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-10 17:02 15,864 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-06-09 01:22 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-06-09 01:21 --------- d-----w C:\Programmi\SUPERAntiSpyware
2008-06-09 01:21 --------- d-----w C:\Documents and Settings\Kayne\Dati applicazioni\SUPERAntiSpyware.com
2008-06-09 01:18 --------- d-----w C:\Programmi\Malwarebytes' Anti-Malware
2008-06-09 01:18 --------- d-----w C:\Documents and Settings\Kayne\Dati applicazioni\Malwarebytes
2008-06-09 01:18 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Malwarebytes
2008-06-08 01:39 --------- d-----w C:\Documents and Settings\Administrator\Dati applicazioni\Subversion
2008-06-07 15:12 --------- d-----w C:\Documents and Settings\Kayne\Dati applicazioni\Sony
2008-06-05 17:46 --------- d-----w C:\Programmi\NSS
2008-05-31 18:58 --------- d-----w C:\Documents and Settings\Kayne\Dati applicazioni\InstallShield
2008-05-29 17:45 --------- d-----w C:\Programmi\Lavasoft
2008-05-29 17:44 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-05-25 10:39 --------- d-----w C:\Programmi\EasyPHP 2.0b1
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2008-05-04 21:39 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 12:35 536576 --a------ C:\Programmi\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-04-10 12:00 15360]
"msnmsgr"="C:\Programmi\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2006-12-06 00:38 707360]
"QuickTime Task"="C:\Programmi\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"LifeCam"="C:\Programmi\Microsoft LifeCam\LifeExp.exe" [2007-01-13 03:48 275800]
"FLSDeviceControlPanel"="C:\WINDOWS\system32\FLSDEVCP.EXE" [2008-06-11 17:43 91696]
"CnxDslTaskBar"="C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe" [2003-10-29 15:11 462848]
"ccApp"="C:\Programmi\File comuni\Symantec Shared\ccApp.exe" [2006-04-04 12:02 71304]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2008-07-21 07:01 95960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-04-10 12:00 15360]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Monitor Apache Servers.lnk - C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe [2008-01-17 22:59:58 41042]
ZoneAlarm.lnk - C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe [2008-07-21 06:27:40 425216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programmi\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"VIDC.HFYU"= huffyuv.dll
"msacm.l3codec"= l3codecp.acm
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=C:\WINDOWS\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^TSS Instrument API Tray Utility.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\TSS Instrument API Tray Utility.lnk
backup=C:\WINDOWS\pss\TSS Instrument API Tray Utility.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Broadcom Wireless Manager UI]
C:\WINDOWS\system32\WLTRAY [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-08-22 09:52 94208 C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2004-08-10 04:04 59392 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
--a------ 2002-08-14 15:21 94208 C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programmi\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programmi\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton SystemWorks]
--a------ 2003-09-18 17:05 124048 C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programmi\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 19:31 1372160 C:\Programmi\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2004-10-08 23:43 688218 C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--a------ 2004-10-08 23:44 98394 C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-02-06 21:30 185632 C:\Programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programmi\\Outlook Express\\msimn.exe"=
"C:\\Programmi\\Spybot - Search & Destroy\\SpybotSD.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programmi\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\Microsoft LifeCam\\LifeExp.exe"=
"C:\\Programmi\\Java\\jdk1.6.0_04\\bin\\javaw.exe"=
"C:\\WINDOWS\\System32\\javaw.exe"=
"C:\\Programmi\\aMSN\\bin\\wish.exe"=
"C:\\Programmi\\iTunes\\iTunes.exe"=
"C:\\Programmi\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"C:3\\eMule\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"C:\\Programmi\\Microsoft LifeCam\\LifeCam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:5\\eMule\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"D:\\UT\\Unreal Tournament\\System\\UnrealTournament.exe"=
"C:\\Programmi\\File comuni\\Nokia\\Tss\\Instrument API\\bin\\root.exe"=
"D:\\eMule\\Estrazione Binari\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"C:1\\eMule\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"C:2\\eMule\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"C:7\\eMule\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"=
"C:\\Programmi\\eMule\\emule.exe"=

R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-03-17 19:23]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R1 dk2drv;DK2 WindowsNT Driver;C:\WINDOWS\SYSTEM32\Drivers\dk2drv.sys [2008-06-11 16:59]
R1 GhPciScan;GhostPciScanner;C:\Programmi\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 15:11]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 FLE5WNNT;FLE-5 WindowsNT Driver;C:\WINDOWS\System32\Drivers\fle5wnnt.sys [2008-06-11 17:43]
R2 FLSIFACE;FLSIface;C:\WINDOWS\System32\Drivers\flsiface.sys [2008-06-11 17:43]
R2 FLSPAR;FLSPar;C:\WINDOWS\System32\Drivers\flspar.sys [2008-06-11 17:43]
R2 FLSSER;FLSSer;C:\WINDOWS\System32\Drivers\flsser.sys [2008-06-11 17:43]
R2 FLSVCOM;FLSVCom;C:\WINDOWS\System32\Drivers\flsvcom.sys [2008-06-11 17:43]
R2 PARLDR2K;ParLdr2k;C:\WINDOWS\system32\drivers\parldr2k.sys [2008-06-11 17:43]
S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-09-12 10:26]
S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-09-12 10:26]
S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-10-29 15:02]
S3 pnicml;pnicml;C:\DOCUME~1\Kayne\IMPOST~1\Temp\pnicml.sys []
S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS [2006-08-29 16:56]
S3 VNICPKT5;VNICPKT5 Protocol Driver;C:\WINDOWS\system32\VNICPKT5.SYS [2001-07-26 14:02]
S3 VSPerfDrv90;Performance Tools Driver 9.0;D:\Microsoft Visual Studio 9.0\Team Tools\Performance Tools\VSPerfDrv90.sys [2007-09-04 17:53]
S3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2006-12-06 00:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5dae10de-0616-11dd-88e0-00c0a8b1afd2}]
\Shell\Auto\command - H:\ckxtsswtg.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ckxtsswtg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{938ecfc0-eedf-11dc-888a-00c0a8b1afd2}]
\Shell\AutoRun\command - nideiect.com
\Shell\explore\Command - nideiect.com
\Shell\open\Command - nideiect.com
.
Contenuto della cartella 'Scheduled Tasks'
"2008-07-23 14:13:34 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-SUPERAntiSpyware - C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
HKLM-Run-EasyPHP - C:\Programmi\EasyPHP 2.0b1\EasyPHP.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.it/ig?hl=it
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
O8 -: &Windows Live Search - C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 -: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-23 16:21:44
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"C:\Programmi\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
Ora fine scansione: 2008-07-23 16:27:49
ComboFix-quarantined-files.txt 2008-07-23 14:27:46

Pre-Run: 1,617,412,096 byte disponibili
Post-Run: 1,634,500,608 byte disponibili

341 --- E O F --- 2008-07-10 22:57:22

Ciao
Leo Rolling Eyes Pray
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 23 Lug 2008 21:42    Oggetto: Rispondi citando

Ciao,
poichè ho visto che in fondo viene citato il file ComboFix-quarantined-files.txt l'ho aperto e ti metto quello che c'è dentro:

2008-07-18 00:13 5834 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\8589656.exe.vir
2008-07-18 00:13 94954 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\8607250.exe.vir
2008-07-18 00:14 13550 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\8640140.exe.vir
2008-07-18 00:14 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\8633203.exe.vir
2008-07-18 00:27 13323 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9436578.exe.vir
2008-07-18 00:27 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9434609.exe.vir
2008-07-18 00:27 94954 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9403171.exe.vir
2008-07-18 00:28 141 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9478203.exe.vir
2008-07-18 00:32 33589 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9722703.exe.vir
2008-07-18 00:33 67285 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9770156.exe.vir
2008-07-18 06:24 1259 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\30851843.exe.vir
2008-07-18 06:24 94011 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\30866656.exe.vir
2008-07-18 06:25 13323 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\30929609.exe.vir
2008-07-18 06:25 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\30927062.exe.vir
2008-07-18 06:26 141 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\30956875.exe.vir
2008-07-18 06:27 33589 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\31025203.exe.vir
2008-07-18 06:27 66952 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\31054796.exe.vir
2008-07-19 12:54 93419 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21555968.exe.vir
2008-07-19 12:55 11594 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21587468.exe.vir
2008-07-19 12:55 141 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21615718.exe.vir
2008-07-19 12:55 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21582953.exe.vir
2008-07-19 13:00 33589 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21919515.exe.vir
2008-07-19 13:01 57568 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\21948921.exe.vir
2008-07-19 17:01 704004 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36367781.exe.vir
2008-07-19 17:01 93748 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36392343.exe.vir
2008-07-19 17:02 11594 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36417843.exe.vir
2008-07-19 17:02 141 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36444937.exe.vir
2008-07-19 17:02 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36415078.exe.vir
2008-07-19 17:06 33589 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36673359.exe.vir
2008-07-19 17:07 57568 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\36723359.exe.vir
2008-07-19 20:27 704004 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\8935343.exe.vir
2008-07-19 20:29 13803 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9048421.exe.vir
2008-07-19 20:29 766 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9044703.exe.vir
2008-07-19 20:29 94711 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9019062.exe.vir
2008-07-19 20:30 141 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\9078765.exe.vir
2008-07-21 06:10 11783 --a------ C:\Qoobox\Quarantine\C\InfoSat.txt.vir
2008-07-23 16:21 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-07-23 16:22 139 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-EasyPHP.reg.dat
2008-07-23 16:22 155 --a------ C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-SUPERAntiSpyware.reg.dat

Ciao
Leo Think Razz
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Lug 2008 22:35    Oggetto: Rispondi citando

Va bene, è stato eliminato il Bagle; è rimasto però qualche rimasuglio;

hai beccato anche l'infezione tramite la chiavetta USB;

quindi per prima cosa disattiva momentaneamente il riconoscimento automatico delle chiavette USB; serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
Citazione:
Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.

Prepara un file con il blocco note e mettici queste scritte in rosso:
Citazione:
File::
C:\20080722-003-i32.exe
C:\WINDOWS\system32\6NQ27h0Q.exe.a_a

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5dae10de-0616-11dd-88e0-00c0a8b1afd2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{938ecfc0-eedf-11dc-888a-00c0a8b1afd2}]

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta il log aggiornati di combofix;
Dopo fai la scansione con Systemscan e posta il log generato come
indicato quì
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 23 Lug 2008 23:53    Oggetto: Rispondi citando

spero di non aver fatto casini, non mi è mai capitato di uploadare dei file, ho copiato tutto quello che c'era da copiare.
Il primo è il log di combofix e gli altri due sono di systemscan.


File log Combo-Fix-2.txt

23_07_2008_23_26_report.zip

File log SystemScan.txt

In casa ci sono altre due chiavette, ma non sono quì adesso.


Rolling Eyes Pray Anxious

edit by bdoriano: sistemati i links
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 24 Lug 2008 00:45    Oggetto: Rispondi citando

Basta riportare quì solo il primo dei link e la dicitura "Direct link" non è necessaria... Wink

Prima di usare le altre chiavette scansionale, lasciando disattivato il riconoscimento automatico;

Systemscan non sembra riportare nulla di pericoloso;

Utilizza nuovamente CCleaner;

Se non conosci questi siti, avvia Hijackthis, seleziona le righe corrispondenti e clicca poi su fix Checked:
Citazione:
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O1 - Hosts: 78.46.49.43 l2testauthd.lineage2.com
O1 - Hosts: 78.46.49.43 l2authd.lineage2.com

Riavvia il PC e rifai il log di Hijackthis;

dopo collegati a Kaspersky online scanner, procedi con la scansione estesa del PC e posta il log come indicato...
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 24 Lug 2008 01:14    Oggetto: Rispondi citando

nprotect non è roba della symantec?
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 24 Lug 2008 01:22    Oggetto: Rispondi citando

li ho messi nell'indirizzo:
nprotect.lineage2.com non dà nulla (Not Found The requested URL / was not found on this server)

l2testauthd.lineage2.com
l2authd.lineage2.com rimandano tutti e due a una pagina con Smile , non è per caso una faccina?

Bene, per ora ti saluto e vado a letto, ciao a domani.
Leo
Laughing Pray Dancing
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 24 Lug 2008 20:47    Oggetto: Rispondi citando

Se non ti sono proprio necessari è inutile che stiano nel file hosts, altrimenti li puoi lasciare....
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 24 Lug 2008 23:18    Oggetto: Rispondi citando

dunque, ho fatto la scansione con ccleaner che ha cancellato parecchio ma ha fatto tre backup di file di registro. Poi ho fatto partire Hijackthis e mi sa che ha cancellato anche quelle voci e ha fatto un log.
Ho già fatto una prima scansione con Kaspersky online dell'area critica e posto il report.

Ccleaner
http://wikisend.com/download/507722/cc_20080724_1642.reg
http://wikisend.com/download/551104/cc_20080724_1643.reg
http://wikisend.com/download/585724/cc_20080724_1644.reg
Hijackthis
http://wikisend.com/download/948854/hijackthis.log
Kaspersky online
http://wikisend.com/download/501382/KasperskyOnline CriticalAreas.html
Sto ancora facendo la scansione del computer, poi delle cartelle e poi dei file.
Per ora mi sembra che abbia trovato qualcosa oltre che nell'area critica anche nella scansione del computer.
Ciao
Leo


Rolling Eyes Confused Pray
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 24 Lug 2008 23:30    Oggetto: Rispondi citando

Finisci di fare la scansione con Kaspersky e posta poi il log completo.

Non serve postare il log di CCleaner... Wink
Top
Profilo Invia messaggio privato
leodis
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/07/08 20:46
Messaggi: 155

MessaggioInviato: 25 Lug 2008 05:36    Oggetto: Rispondi

adesso ti ho postato il log di My Computer

http://wikisend.com/download/527432/KasperskyOnline MyComputer.html

sto passando le chiavette

http://wikisend.com/download/961030/KasperskyOnline USB2GBKingston.html

Questa è la mia chiavetta e questo virus pensavo di averlo già ammazzato, devo aver infettato anche l'altro computer.

Le altre due chiavette sono pulite, meglio.

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2, 3  Successivo
Pagina 1 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi