Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
system32\msicfs32.dll system32\msixdw32.dll
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 30 Mag 2012 05:49    Oggetto: system32\msicfs32.dll system32\msixdw32.dll Rispondi citando

Ciao ragazzi, ho alcuni problemi sul mio notebook, oltre ai due troian che mi ha rilevato nel titolo sia avira che superantispyware, e il centro di sicurezza pc che mi segnala sempre che non ho installato antivirus non riesco ad aggiornare, pur essendo amministratore i driver della scheda video ati perchè mi dice che non lo sono amministratore e vedo lo schermo spesso con qualità infima. come posso risolvere il problema.Grazie. allego post di hijackthis
hijackthis.log
quello di superantispayware nn riesco a postarlo perchè non ci sono in elenco i log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 30 Mag 2012 08:26    Oggetto: Rispondi citando

Ciao danielito,

qual'è il nome del trojan che viene rilevato da Avira e da SuperAntiSpyware?

Per recuperare il log di SuperAntiSpyware, procedi così:
  • Avvia SuperAntiSpyware
  • Clicca Preferences...
  • Clicca Statistics/Logs
  • Clicca View log...
  • Ti si apre il Blocco note con il contenuto del file
  • Salvalo con un nuovo nome sul desktop
  • I logs caricali su uno dei servizi indicato qui.

Fai questa scansione con OTL <-- IMPORTANTE
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 30 Mag 2012 13:40    Oggetto: Rispondi citando

Grazie bdoriano, purtroppo otl non riesco ad utilizzarlo, nell'immagine riporto errore


Uploaded with ImageShack.us

avira mi ha rilevato i due file in oggetto di discussione come TR/crypt.XPACK.Gen8

ora sto riscansionando con superantispyware, al max prima di sera posto il log.

grazie 1000!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 30 Mag 2012 14:09    Oggetto: Rispondi citando

L'immagine che hai postato è troppo piccola e non riesco a leggere il messaggio di errore.

Segui le istruzioni di questo topic per postare il log di combofix.
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 30 Mag 2012 20:22    Oggetto: Rispondi citando

Grazie bdoriano, posto ora il log di superantispyware
SUPERAntiSpyware Scan Log - 05-30-2012 - 19-31-03.log
il log di combofix
log Combofix.txt
e l'errore di otl


Uploaded with ImageShack.us
il nome del troian in SAS è Trojan.Agent/Gen-Nebuler
Grazie x l'aiuto
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 30 Mag 2012 20:44    Oggetto: Rispondi citando

OTL segnala un problema di accesso alle informazioni sulle partizioni. Think
Il log di SuperAntiSpyware rileva solo dei cookies.
Combofix ha eliminato un adware e vedo almeno una voce molto sospetta.

Prima di Avira utilizzavi Avast?

  • Scarica TDSSKiller.zip e salvalo sul desktop
  • Apri il file appena scaricato ed estrai il file TDSSKiller.exe
  • Avvia TDSSKiller.exe
  • Clicca Change parameters
  • metti il segno di spunta a Detect TDLFS file system
  • clicca OK
  • Clicca Start scan e attendi pazientemente la fine dei lavori
  • Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
  • Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
  • Il log viene creato nella cartella principale del disco C:
    Es.: C:\TDSSKiller.2.7.xx_gg.mm.2012_hh.mm.ss_log.txt
  • Posta il log creato, secondo le solite modalità
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 30 Mag 2012 21:13    Oggetto: Rispondi citando

Si, bdoriano, prima di avira utilizzavo avast...
posto il log di tdss killer
TDSSKiller.2.7.36.0_30.05.2012_21.08.09_log.txt
in attesa di preziosi consigli, ringrazio. sei un grande nell'aiutare gli altri
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 30 Mag 2012 22:29    Oggetto: Rispondi citando

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice:
KillAll::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"=-

Driver::
aswSnx
aswSP
aswFsBlk

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta il log aggiornato di combofix.
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 31 Mag 2012 13:38    Oggetto: Rispondi citando

ciao bdoriano, purtroppo dopo aver atteso per ben sei ore combofix continua ad essere bloccato sulla schermata di ci vorranno 10 minuti, o se molto infetto il tempo potrebbe raddoppiare. l'unica operazione fatta è stata di mangiare il cfscript...poi più nulla.è normale aspettare delle ore e dev o ripetere l'operazione oppure devo-posso fare altro?grazie
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 31 Mag 2012 19:16    Oggetto: Rispondi citando

No, direi che non è normale che ti faccia aspettare così tanto. Think

Riduciamo le operazioni da fare...

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice:
KillAll::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"=-

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Se funziona così, il resto te lo farò eliminare in altro modo.
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 01 Giu 2012 05:47    Oggetto: Rispondi citando

Ciao, purtroppo si è verificato lo stesso problema di ieri, dopo un'attesa di 8 ore nella notte, il pc continuava ad essere bloccato sulla schermata di attesa di 10 minuti, se molto infetto potrebbe raddoppiare. con sfscript non ne vuole sapere.
combofix in se invece funziona, se servisse ti allego file della scansione serale di ieri
log.txt
grazie!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 01 Giu 2012 08:08    Oggetto: Rispondi citando

Veramente strano... Think

Vediamo di procedere in modo diverso.
  • Scarica questo programma e salvalo sul desktop
  • Avvia il pc in Modalità provvisoria
  • Esegui il programma aswclear.exe, scaricato poco prima
  • Clicca Uninstall
  • Chiudi il programma, ti chiederà di riavviare il pc

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice:
SkipFix::

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.



Dimenticavo:
Fai anche questa scansione con DDS.
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 01 Giu 2012 17:13    Oggetto: Rispondi citando

Ciao bdoriano, intanto grazie!
ho proceduto come mi hai detto...in modalità provvisoria aswclear.exe non compare, ho lavorato in modalità tradizionale.
Ho utilizzato CFScript.txt per SkipFix, stavolta ha funzionato...
ti posto il log di combofix aggiornato...
log.txt
la scansione con dds.scr, subito dopo la schermata che posto sotto...scompare e purtroppo non da nessun report...

sono ora riuscito ad ottenerli dopo alcuni tentativi, li riporto sotto
dds.txt
attach.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 01 Giu 2012 19:28    Oggetto: Rispondi citando

Direi di fare una scansione con un CD live.
Segui le istruzioni di questa discussione (anche se non è aggiornata).
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 02 Giu 2012 04:59    Oggetto: Rispondi citando

posto il log del cd-live di kaspersky che ha rilevato Win32 Generic, purtroppo non riesco a caricare il log

Objects Scan: completed <1 minute ago (events: 22, objects: 1180929, time: 07:24:21)
6/2/12 4:17 AM Task completed
6/2/12 4:16 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/2/12 4:13 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 11:17 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack Postponed
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:30 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/JVM/jre-6u3-windows-i586-p.exe/data0000.res/Data1.cab/core2.zip Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar/ArchiCAD 13 - a 32 bit in Italiano/archive.jar Read error
6/1/12 10:27 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/archive.jar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Shakira - She Wolf (CDM-2009).rar Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar/Black Eyed Peas -The E.N.D/101 Black Eyed Peas - Boom Boom Pow.mp3 Read error
6/1/12 10:23 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 8:52 PM Task started
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 02 Giu 2012 09:20    Oggetto: Rispondi citando

Ok. Smile

Disabilita il ripristino di sistema

Vediamo se ora Combofix è più collaborativo. Wink
Scarica la nuova versione di Combofix e effettua una nuova scansione.
Posta il log al solito modo.
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 02 Giu 2012 10:59    Oggetto: Rispondi citando

Posto il log di Combofix... come prima non funziana ne wikisend nè wikifortio
lo carico per intero sotto ...ho provato anche con cfscript ma nulla come prima

ComboFix 12-06-02.02 - Windows 02/06/2012 10.07.12.7.2 - x86
Eseguito da: c:\documents and settings\Windows\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-02 al 2012-06-02 )))))))))))))))))))))))))))))))))))
.
.
2012-06-01 20:45 . 2012-06-02 04:17 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-06-01 11:34 . 2012-06-01 11:34 -------- d-sh--w- c:\documents and settings\Administrator.FUJITSU\PrivacIE
2012-05-29 19:28 . 2012-05-29 19:28 -------- d-----w- c:\windows\system32\wbem\Repository
2012-05-29 19:24 . 2012-05-30 04:01 -------- d-----w- c:\programmi\Innovative Solutions
2012-05-29 19:20 . 2012-05-29 19:20 -------- d-----w- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Innovative Solutions
2012-05-29 05:43 . 2012-05-29 05:43 -------- d-----w- C:\AMD
2012-05-22 04:55 . 2012-05-22 11:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PhotoME
2012-05-11 18:40 . 2012-05-11 18:40 -------- d-----w- C:\b677b0d6a3f0bc033241d72048b7ae
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 19:38 . 2010-07-09 08:54 6104168 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2012-04-11 13:51 . 2004-08-04 00:48 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2005-10-06 03:08 1862272 ----a-w- c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2004-09-07 12:00 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-04 13:56 . 2010-07-10 03:44 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-18 18:55 . 2012-03-17 16:55 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-03-18 08:44 . 2012-03-18 08:44 388096 ----a-r- c:\documents and settings\Windows\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL.EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(6).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(5).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(4).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(3).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(2).EXE
.
.
((((((((((((((((((((((((((((( SnapShot@2012-06-02_07.19.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-02 07:29 . 2012-06-02 07:29 16384 c:\windows\Temp\Perflib_Perfdata_8f8.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"="BoIEzuFSaaK" [X]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
"OfficeSyncProcess"="c:\programmi\Microsoft Office\Office14\MSOSYNC.EXE" [2011-07-21 718720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-17 64512]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2011-06-24 1458176]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
"MyGarminAgent"="c:\programmi\Garmin\MyGarminAgent\MyGarminAgent.exe" [2010-03-16 337256]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"BCSSync"="c:\programmi\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-16 258512]
"RTHDCPL"="RTHDCPL.EXE" [2012-03-14 20065896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:14 1695232 ------w- c:\programmi\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programmi\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
.
R1 aswSnx;aswSnx; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Servizio Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [2003-04-18 8192]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
R3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programmi\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
R3 osppsvc;Office Software Protection Platform;c:\programmi\File comuni\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 PuranDefrag;PuranDefrag;c:\windows\system32\PuranDefragS.exe [2011-04-08 229376]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-16 36000]
S1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [2011-12-16 86224]
S2 ArcGIS License Manager;ArcGIS License Manager;c:\programmi\ESRI\License\arcgis9x\lmgrd.exe [2008-08-02 1431440]
S2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programmi\Nitro PDF\Professional\NitroPDFDriverService.exe [2010-10-20 196928]
S2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [2010-10-20 67904]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 22344]
S3 NETwLx32; Driver scheda Intel(R) Wireless WiFi Link 5000 Series per Windows XP 32 Bit;c:\windows\system32\DRIVERS\NETwLx32.sys [2011-12-04 6609920]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 17:52]
.
2012-06-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003Core1ccc3ea29ddbae4.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003UA.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\User_Feed_Synchronization-{73E6A59E-C0D2-45B1-8967-06923E2C3D7B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: I&nvia a OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{F0077504-8AA1-463E-9226-F4FC36D7F463}: NameServer = 85.37.17.7 85.38.28.95
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-02 10:15
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-606747145-287218729-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:20,7c,6a,f7,2f,c9,3a,65,20,65,20,ed,db,57,be,3c,c3,4b,b0,c6,59,
87,fa,31,87,07,18,da,3f,40,c2,17,ef,c1,dd,10,07,3a,1d,2b,1f,0b,9f,74,e7,10,\
"rkeysecu"=hex:74,3c,5e,77,e0,fd,4f,4c,ac,f4,90,4f,8a,e1,79,ce
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(952)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2364)
c:\windows\system32\WININET.dll
c:\progra~1\FILECO~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1040\GrooveIntlResource.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2012-06-02 10:18:26
ComboFix-quarantined-files.txt 2012-06-02 08:18
ComboFix2.txt 2012-06-02 07:22
ComboFix3.txt 2012-06-01 11:57
ComboFix4.txt 2012-05-31 18:51
ComboFix5.txt 2012-06-02 07:43
.
Pre-Run: 28,698,243,072 byte disponibili
Post-Run: 28,680,777,728 byte disponibili
.
- - End Of File - - BF0AB0ABDFAD1BB32C8D0DB66FE8B716
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 02 Giu 2012 12:32    Oggetto: Rispondi citando

Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:
Citazione:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200000d

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`065f9a00 (NTFS)

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365


Done!
Press ENTER to exit...


Al termine, troverai sul desktop un file con un nome simile a MBRCheck_MM.gg.aa_hh.mm.ss.txt.
Postalo, secondo le solite modalità.

  • Scarica aswMBR e salvalo sul desktop
  • Avvia aswMBR.exe
  • compare una finestra nera con, all'interno, un'altra finestra:
    This application can use the Avast! Free Antivirus for scanning.
    It is recommended to download it for bettere detection results.

    Would you like to download latest Avast! virus definitions?

  • clicca No
  • clicca Scan e attendi pazientemente la fine dei lavori
  • clicca Save log
  • clicca Exit
  • compare una nuova finestra:
    Are you sure you want to exit the program?
  • clicca Si
  • sul desktop troverai i files:
    aswMBR.txt è il log appena creato
    MBR.dat è una copia del contenuto dell'MBR del tuo disco fisso
    zippali in unico file e postalo secondo le solite modalità
Top
Profilo Invia messaggio privato
danielito
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 01/06/08 11:33
Messaggi: 162

MessaggioInviato: 03 Giu 2012 00:28    Oggetto: Rispondi citando

Posto i due log su mediafire per il solito non funzionamento di wikisend & C.

http://www.mediafire.com/?1s1l7vl3fgb44hn

http://www.mediafire.com/?o4n177z9y632czz
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 03 Giu 2012 07:46    Oggetto: Rispondi

Think

MBRCheck non ha rilevato minacce.
Discorso diverso, invece, per aswMBR... anche qui non sembra ci siano tracce di malware e la copia del tuo MBR risulta linda e pulita, ma... c'è un valore non standard:
Codice:
00:15:39.218    Disk 0 PE file @ sector 156280334 !

che potrebbe anche essere dovuto ai rimasugli di una precedente infezione... ma non si sa mai.

Facciamo un ulteriore controllo:
  • Avvia nuovamente aswMBR.exe
  • compare una finestra nera con, all'interno, un'altra finestra:
    This application can use the Avast! Free Antivirus for scanning.
    It is recommended to download it for bettere detection results.

    Would you like to download latest Avast! virus definitions?

  • stavolta clicca Yes
  • clicca Scan e attendi pazientemente la fine dei lavori
  • clicca Save log
  • clicca Exit
  • compare una nuova finestra:
    Are you sure you want to exit the program?
  • clicca Si
  • sul desktop troverai i files:
    aswMBR.txt è il log appena creato
    MBR.dat è una copia del contenuto dell'MBR del tuo disco fisso
    zippali in unico file e postalo secondo le solite modalità

  1. Scarica questo programma e salvalo in C:\
  2. Clicca Start
  3. Clicca Esegui...
  4. Digita:
    Codice:
    cmd


  5. Clicca su ok
  6. si apre la finestra DOS, digita:
    Codice:
    CD \

    premi invio
  7. digita:
    Codice:
    mbr -t -s

    premi invio
  8. digita:
    Codice:
    exit

    premi invio
  9. Posta il log C:\mbr.log secondo le solite modalità
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2, 3  Successivo
Pagina 1 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi