Olimpo Informatico

[sagittarjo]

Buongiorno a tutti,
ho windows xp come SO, KIS 2009 come antivirus. Tutto ha sempre funzionato alla perfezione finchè ieri , preso da febbre da smanettamento, ho voluto provare sunbelt spycounter; ho prima disinstallato KIS poi installato spycounter che mi ha trovato una voce(autorun qualcosa) che ho eliminato. Poi ho chiuso spycounter e cercato di aprire Kis ma niente, non appare nessun messaggio; solo dai servizi risulta in automatico ma non si avvia dandomi errore 1053. sul task manager non ho visto il famoso processo tipico dei conficker che inizia per h ma di cui non ricordo il nome. Poi ho provato ad installare spydoctor ma non mi si aggiorna e quindi non parte.
Potete aiutarmi a risolvere?
Grazie in anticipo a tutti

*dimenticavo: la navigazione è rapida ed efficace ed ho già provato a rinstallare Kis ma niente...

[Er_Kratos]

Ciao ^^
Non sono uno dei Guru di questa sezione ma come primo passo ti consiglio questi step di pulizia generale, così poi sapranno consigliarti meglio

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con combofix.
  
• Fai questa scansione con SystemScan.
  
• Riferisci nella tua in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di Combofix su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

Inoltre quando tutto sarà sistemato ti consiglio di passare ad una migliore configurazione antivirus, installando Antivir, affiancato da MBAM e superantispyware...

ps. prima di eseguire i passi sovrastanti:

1) Disattiva il Ripristino configurazione di sistema:
● Start
● Pannello di controllo
● seleziona Sistema e manutenzione
● seleziona l?icona Sistema
● nel menu a sinistra clicca su Protezione sistema
● togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema [di norma è C:/]
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema.

2) Vuota la cartella C:\Windows\prefetch\ SENZA cancellare la cartella...

3) Disinstalla sia KIS che spycounter...

[sagittarjo]

2) Vuota la cartella C:\Windows\prefetch\ SENZA cancellare la cartella...

Ciao ER KRATOS e grazie.
Sei sicuro che posso eliminare il contenuto di prefetch? La cartella è piena di file PF, non vorrei fare danni.....in caso scusa la mia ignoranza.

[Er_Kratos]

Allora...la cartella prefetch è usata per il pre-caricamento dei programmi, e si riempe in modo automatico dopo un pò che si utilizza il computer. Il suo compito è quello di accellerare l'apertura dei programmi usati più frequentemente, e potrebbe contenere parti di virus, essendo questi dei programmi....se cerchi in altre discussioni spesso si consiglia di svuotare questa cartella in modo da non lasciare residui di virus, così come di disattivare il ripristino configurazioni di sistema perchè i virus potrebbero lasciare tracce anche li. Spero di essere stato chiaro ^^

[sagittarjo]

Sei stato chiarisssimo, grazie.

hjt non ha trovato niente, mbam non mi si aggiorna ne apre, superantispyware ce l'avevo già e l'ho rimosso perchè mi dava problemi, ora riprovo ma mi sa che non si aprirà nemmeno lui.

P.S. con kis 2009 mi sono sempre trovato benissimo e gli affiancavo proprio superantispyware.

Ho provato ad installare superantispyware dalla mia usb e mi ha dato errore di applicazione (si è verificato l'errore di exception unknown software 0x80000003 nell'applicazione alla posizione 0x004039e0) e per un istante è apparsa l'icona autorun.ini che è poi scomparsa.
tutti i programmi li sto scaricando da un altro pc perchè non mi fido a navigare senza antivirus.

[bdoriano]

Ciao sagittarjo,

Ok, c'è qualche ospite che impedisce il normale funzionamento degli antimalware.

Procedi con il punto successivo delle istruzioni postate da Er_Kratos.

[Er_Kratos]

è arrivata la cavalleria!! 8) 8)
Ti lascio nelle mani del ben più esperto bdoriano
vedrai che ti sistema il pc in men che non si dica...

[sagittarjo]

ok, combofix mi ha trovato rootkit, posto il log:
ComboFix 09-05-02.4 - JO 03/05/2009 13.22.54.1 - NTFSx86
Eseguito da: c:\documents and settings\JO\Desktop\Combo--Fix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\docume~1\JO\IMPOST~1\Temp\tmp1.tmp
c:\docume~1\JO\IMPOST~1\Temp\tmp2.tmp
c:\recycler\S-3-0-54-100007044-100007332-100010007-8274.com
c:\windows\system32\drivers\gxvxcaiyqbpxdqqohjwilaswuhrldymtmxwfo.sys
c:\windows\system32\drivers\gxvxcfkrnlmsqjqpclmenalxbhxfmmsmlkjbo.sys
c:\windows\system32\drivers\gxvxcjlkjbaqlwyoerpjmetqpkwcksxdorgoe.sys
c:\windows\system32\drivers\gxvxcvxbltpdveiudpulbopabwwabthirftir.sys
c:\windows\system32\drivers\gxvxcwuxxnbevxalkmxsiuwmdxvdyyrocfuba.sys
c:\windows\system32\drivers\gxvxcxwgixbrqtqskducfmuiqaqjbppqvkvww.sys
c:\windows\system32\drivers\gxvxcyxvmkvspexmqwidltoqooyutpkvsdose.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcdnitdnpuroirmwudyvpxyobeaeoialog.dll
D:\Autorun.inf
d:\recycler\S-1-6-41-100027418-100023360-100001754-2438.com
d:\recycler\S-1-8-19-100030624-100012504-100026410-9701.com
d:\recycler\S-3-0-54-100007044-100007332-100010007-8274.com
d:\recycler\S-4-8-45-100028261-100027935-100015496-1909.com
d:\recycler\S-7-1-11-100000164-100006378-100014453-6017.com
d:\recycler\S-8-7-34-100018399-100030445-100006408-3645.com
d:\recycler\S-9-9-83-100001527-100029652-100005878-5269.com
F:\Autorun.inf
f:\recycler\S-1-6-41-100027418-100023360-100001754-2438.com
f:\recycler\S-1-8-19-100030624-100012504-100026410-9701.com
f:\recycler\S-3-0-54-100007044-100007332-100010007-8274.com
f:\recycler\S-4-8-45-100028261-100027935-100015496-1909.com
f:\recycler\S-7-1-11-100000164-100006378-100014453-6017.com
f:\recycler\S-8-7-34-100018399-100030445-100006408-3645.com
f:\recycler\S-9-9-83-100001527-100029652-100005878-5269.com
G:\Autorun.inf
g:\recycler\S-1-6-41-100027418-100023360-100001754-2438.com
g:\recycler\S-1-8-19-100030624-100012504-100026410-9701.com
g:\recycler\S-3-0-54-100007044-100007332-100010007-8274.com
g:\recycler\S-4-8-45-100028261-100027935-100015496-1909.com
g:\recycler\S-7-1-11-100000164-100006378-100014453-6017.com
g:\recycler\S-8-7-34-100018399-100030445-100006408-3645.com
g:\recycler\S-9-9-83-100001527-100029652-100005878-5269.com

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys


((((((((((((((((((((((((( Files Creati Da 2009-04-03 al 2009-05-03 )))))))))))))))))))))))))))))))))))
.

2009-05-02 18:15 . 2008-12-11 06:38 159600 ----a-w c:\windows\system32\drivers\pctgntdi.sys
2009-05-02 18:15 . 2009-04-03 09:18 130936 ----a-w c:\windows\system32\drivers\PCTCore.sys
2009-05-02 18:15 . 2008-12-18 10:16 73840 ----a-w c:\windows\system32\drivers\PCTAppEvent.sys
2009-05-02 18:15 . 2009-05-03 10:31 -------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-05-02 18:15 . 2009-05-02 18:16 -------- d-----w c:\programmi\File comuni\PC Tools
2009-05-02 18:15 . 2008-12-10 09:36 64392 ----a-w c:\windows\system32\drivers\pctplsg.sys
2009-05-02 18:15 . 2009-05-02 18:15 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\PC Tools
2009-05-02 18:15 . 2009-05-02 18:15 -------- d-----w c:\documents and settings\JO\Dati applicazioni\PC Tools
2009-05-02 18:15 . 2009-05-02 18:16 -------- d-----w c:\programmi\Spyware Doctor
2009-05-02 15:54 . 2009-05-02 15:54 -------- d-----w c:\documents and settings\JO\RECYCLER
2009-05-02 15:54 . 2009-05-02 15:52 43967896 ----a-w c:\documents and settings\JO\kis8.0.0.506it.exe
2009-05-02 15:02 . 2009-05-02 15:02 -------- d-----r c:\documents and settings\LocalService\Preferiti
2009-05-02 13:18 . 2009-05-02 13:48 -------- d-----w C:\MxDownload
2009-04-30 18:46 . 2009-04-30 18:46 0 ----a-w c:\windows\system32\cid_store.dat
2009-04-30 17:54 . 2009-05-02 18:17 -------- d-----w c:\documents and settings\JO\Dati applicazioni\MxBoost
2009-04-30 17:49 . 2009-04-30 18:16 -------- d-----w c:\programmi\Maxthon2
2009-04-30 00:13 . 2009-04-30 00:13 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2009-04-30 00:13 . 2009-04-30 00:13 -------- d-----w c:\documents and settings\JO\Dati applicazioni\SUPERAntiSpyware.com
2009-04-29 23:51 . 2009-05-02 18:58 -------- d-----w c:\programmi\a-squared Free
2009-04-29 22:08 . 2008-12-11 12:31 27904 ----a-w c:\windows\system32\uxtuneup.dll
2009-04-29 20:51 . 2009-04-29 20:51 -------- d-----w c:\documents and settings\JO\Dati applicazioni\Canneverbe_Limited
2009-04-29 20:50 . 2009-04-29 20:50 -------- d-----w c:\programmi\CDBurnerXP
2009-04-29 18:11 . 2009-04-29 18:11 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-04-29 18:11 . 2009-04-29 18:11 360192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-04-29 18:10 . 2009-04-29 21:20 -------- d-----w c:\programmi\TuneUp Utilities 2009
2009-04-29 18:09 . 2009-04-29 18:09 -------- d-sh--w c:\documents and settings\All Users\Dati applicazioni\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-29 11:50 . 2009-04-29 11:50 2288640 ----a-w c:\windows\system32\TUKernel.exe
2009-04-28 22:51 . 2009-04-28 22:51 -------- d-----w c:\documents and settings\JO\Dati applicazioni\TuneUp Software
2009-04-28 22:51 . 2009-04-28 22:51 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\TuneUp Software
2009-04-28 21:42 . 2009-04-28 21:45 -------- d-----w c:\windows\system32\NtmsData
2009-04-27 11:12 . 2009-04-27 11:12 -------- d-----w c:\programmi\File comuni\DivX Shared
2009-04-04 13:27 . 2009-04-27 11:12 -------- d-----w c:\programmi\DivX

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-03 11:25 . 2009-04-29 18:10 484 ----a-w c:\windows\Tasks\Manutenzione in 1 clic.job
2009-05-03 11:25 . 2008-11-06 16:58 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-02 14:38 . 2009-01-07 23:19 376864 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-02 14:38 . 2009-01-07 23:19 3416 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-02 14:38 . 2009-01-07 23:19 1695264 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-02 14:38 . 2009-01-07 23:19 15372 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-29 22:37 . 2009-02-25 18:11 -------- d-----w c:\programmi\PokerStars.IT
2009-04-29 20:54 . 2008-11-06 17:15 -------- d-----w c:\programmi\File comuni\Ahead
2009-04-23 00:02 . 2004-08-19 11:00 81084 ----a-w c:\windows\system32\perfc010.dat
2009-04-23 00:02 . 2004-08-19 11:00 482834 ----a-w c:\windows\system32\perfh010.dat
2009-03-31 16:18 . 2008-11-24 21:46 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-31 16:18 . 2009-03-31 16:18 -------- d-----w c:\programmi\Java
2009-03-26 16:20 . 2008-11-06 17:37 -------- d-----w c:\programmi\File comuni\Adobe
2009-03-06 14:19 . 2008-04-13 17:13 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2008-04-13 17:13 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 17:08 . 2008-04-13 17:13 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:04 . 2008-04-13 16:50 1846784 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:23 . 2008-04-13 18:55 2027520 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:22 . 2008-04-13 16:54 2148864 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:22 . 2008-04-13 17:14 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-13 17:13 734720 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-13 17:13 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-13 17:13 683520 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-13 17:13 736256 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-08-19 11:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-13 17:13 56832 ----a-w c:\windows\system32\secur32.dll
2009-02-02 11:00 . 2009-02-02 11:00 317610 ----a-w c:\programmi\Kaspersky2009TrialReset.zip
.

------- Sigcheck -------

[-] 2008-10-28 08:28 1571840 3316C8A8EC07A9D4C0BE10310809A9E5 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="c:\programmi\TuneUp Utilities 2009\MemOptimizer.exe" [2008-12-12 156416]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2006-08-30 89542]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BTTray.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe"
"StartCCC"=c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 0 (0x0)

R1 SASKUTIL;SASKUTIL; [x]
R3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245; [x]
R3 SBRE;SBRE; [x]
R3 sdAuxService;PC Tools Auxiliary Service;c:\programmi\Spyware Doctor\pctsAuxs.exe [2009-01-07 348752]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-03 130936]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-04-29 603904]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-03 c:\windows\Tasks\Manutenzione in 1 clic.job
- c:\programmi\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 15:20]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Invia a periferica &Bluetooth... - c:\programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{C4046502-6524-4d87-896C-878F57D1FF07} - c:\programmi\PokerStars.IT\PokerStarsUpdate.exe
DPF: DownloadInformation
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-03 13:26
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h??|ÿÿÿÿ¤??|ù?9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\???|ÿÿÿÿÀ??|ù?9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1520)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1720)
c:\windows\system32\relog_ap.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\a-squared Free\a2service.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Ora fine scansione: 2009-05-03 13.28.16 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-05-03 11:28

Pre-Run: 10.077.032.448 byte disponibili
Post-Run: 10.004.107.264 byte disponibili

209 --- E O F --- 2009-04-30 01:00

[Riverside]

[sagittarjo]

hijackthis.log

http://forum.zeusnews.com/link/44898

Non so quale dei 2 link sia + comodo per voi.
Si, il pc mi si avvia in modalità provvisoria.

Grazie a er kratos per l'aiuto.
Eh già, almeno una volta l'anno mi prende di smanettare sul pc anche se mi va tutto bene, almeno imparo un po' di cose....

Scusate se ho postato il log nel forum, mi ero scordato....

grazie a tutti

[Riverside]

Rilancia Hijackthis, spunta le caselline in corrispondenza delle voci che ti indico sotto; una volta spuntare le voci:
1) chiudi tutte le pagine internet aperte;
2) chiudi tutte le applicazioni in esecuzione (compreso Messenger)
3) clicca sul tasto FixChecked

Queste le voci da fixare:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programmi\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O16 - DPF: DownloadInformation -

Fixate le voci:
Scarica Norman Malware Cleaner: clicca qui per il download
Crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tool che hai scaricato

Poi:
Crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool di Combofiza che hai già che hai scaricato
elimina i log genarati prima da Combofix

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia Norman ed esegui una scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema

● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● rilancia Norman ed esegui una seconda scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e riavvia il sistema

● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● rilancia Combofix ed esegui una scansione completa

Conclusi questi passaggi:

● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet

● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log: salvalo sul desktop

allega, in questa sequenza, tutti i log che hai salvato

● Norman1
● Norman2
● Hijackthis

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento di ogni singolo file.

Per ora penso che basti.

[sagittarjo]

norman1 2009-05-03_15-36-00.log


norman2 2009-05-03_16-56-57.log


hijackthis.log



ok, fatto tutto, a voi la palla e sempre grazie

[Riverside]

Kaspersky lo hai disinstallato? dal log di Hijackthis, non vedo nessun antivirus installato (a parte quel bidone di antimalware che si chiama asquared e Spyware Doctor).

[sagittarjo]

ciao Riverside,

ieri sera ho rinstallato kaspersky ed è partito,sembra tutto a posto a livello di virus&c., quello che ora non va è la connettività, non riesco + a navigare ed ovviamente non mi si attiva ne aggiorna l'antivirus: mi dà errore 12007 connettività http, https, ftp. ho paura che quando ho paura di aver maleinterpretato quando mi hai detto di disconnettere fisicamente il modem, in realtà ho spento il router e disconnesso dalla mia rete il pc.
Spero di non aver complicato troppo le cose. Puoi aiutarmi a correggere questo errore?

Un'altra cosa è che mi sono comparse delle cartelle e dei file in C che prima non avevo( qoobox, viritexp, ctapi_out_gr.txt, webmailplugin.dll); posso eliminarli?

Ieri ho fatto anche una scansione con findykill che mi ha eliminato una voce dalla cartella prefetch, il resto era ok.

Sono felicissimo di sapere che non ho + virus, grazie di cuore.

[Riverside]

[sagittarjo]

Ciao, avevi ragione, kaspersky mi ha trovato un worm.

kis1.txt

http://forum.zeusnews.com/link/44998

Ho risposto in ritardo perchè i 2 pc di casa non rilevano + la connessione senza fili, che ci sia lo zampino dei virus? Tiscali mi ha detto che mi mandano un altro modem.

Ciao e sempre grazie.

[Riverside]

Scusa F: e G: che unità sono? (solo dati)?

[sagittarjo]

G ed F sono hd esterni, dentro ho dati per lo +, come programmi ho emule su G e ripristino e drivers su F.

Ora come sta il mio pc secondo te?

Pensi che i miei problemi di connessione siano dovuti ai virus trovati?

[Er_Kratos]

Ciao ^^
potrebbe essere che sia un problema di un virus. Per favore mi alleghi un altro log di HJT?

[Riverside]