Precedente :: Successivo |
Autore |
Messaggio |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 30 Mag 2012 05:49 Oggetto: system32\msicfs32.dll system32\msixdw32.dll |
|
|
Ciao ragazzi, ho alcuni problemi sul mio notebook, oltre ai due troian che mi ha rilevato nel titolo sia avira che superantispyware, e il centro di sicurezza pc che mi segnala sempre che non ho installato antivirus non riesco ad aggiornare, pur essendo amministratore i driver della scheda video ati perchè mi dice che non lo sono amministratore e vedo lo schermo spesso con qualità infima. come posso risolvere il problema.Grazie. allego post di hijackthis
hijackthis.log
quello di superantispayware nn riesco a postarlo perchè non ci sono in elenco i log |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Mag 2012 08:26 Oggetto: |
|
|
Ciao danielito,
qual'è il nome del trojan che viene rilevato da Avira e da SuperAntiSpyware?
Per recuperare il log di SuperAntiSpyware, procedi così:
- Avvia SuperAntiSpyware
- Clicca Preferences...
- Clicca Statistics/Logs
- Clicca View log...
- Ti si apre il Blocco note con il contenuto del file
- Salvalo con un nuovo nome sul desktop
- I logs caricali su uno dei servizi indicato qui.
Fai questa scansione con OTL <-- IMPORTANTE |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 30 Mag 2012 13:40 Oggetto: |
|
|
Grazie bdoriano, purtroppo otl non riesco ad utilizzarlo, nell'immagine riporto errore
Uploaded with ImageShack.us
avira mi ha rilevato i due file in oggetto di discussione come TR/crypt.XPACK.Gen8
ora sto riscansionando con superantispyware, al max prima di sera posto il log.
grazie 1000! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Mag 2012 14:09 Oggetto: |
|
|
L'immagine che hai postato è troppo piccola e non riesco a leggere il messaggio di errore.
Segui le istruzioni di questo topic per postare il log di combofix. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Mag 2012 20:44 Oggetto: |
|
|
OTL segnala un problema di accesso alle informazioni sulle partizioni.
Il log di SuperAntiSpyware rileva solo dei cookies.
Combofix ha eliminato un adware e vedo almeno una voce molto sospetta.
Prima di Avira utilizzavi Avast?
- Scarica TDSSKiller.zip e salvalo sul desktop
- Apri il file appena scaricato ed estrai il file TDSSKiller.exe
- Avvia TDSSKiller.exe
- Clicca Change parameters
- metti il segno di spunta a Detect TDLFS file system
- clicca OK
- Clicca Start scan e attendi pazientemente la fine dei lavori
- Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
- Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
- Il log viene creato nella cartella principale del disco C:
Es.: C:\TDSSKiller.2.7.xx_gg.mm.2012_hh.mm.ss_log.txt
- Posta il log creato, secondo le solite modalità
|
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 30 Mag 2012 21:13 Oggetto: |
|
|
Si, bdoriano, prima di avira utilizzavo avast...
posto il log di tdss killer
TDSSKiller.2.7.36.0_30.05.2012_21.08.09_log.txt
in attesa di preziosi consigli, ringrazio. sei un grande nell'aiutare gli altri |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Mag 2012 22:29 Oggetto: |
|
|
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice: | KillAll::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"=-
Driver::
aswSnx
aswSP
aswFsBlk |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 31 Mag 2012 13:38 Oggetto: |
|
|
ciao bdoriano, purtroppo dopo aver atteso per ben sei ore combofix continua ad essere bloccato sulla schermata di ci vorranno 10 minuti, o se molto infetto il tempo potrebbe raddoppiare. l'unica operazione fatta è stata di mangiare il cfscript...poi più nulla.è normale aspettare delle ore e dev o ripetere l'operazione oppure devo-posso fare altro?grazie |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 31 Mag 2012 19:16 Oggetto: |
|
|
No, direi che non è normale che ti faccia aspettare così tanto.
Riduciamo le operazioni da fare...
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice: | KillAll::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"=- |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Se funziona così, il resto te lo farò eliminare in altro modo. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 01 Giu 2012 05:47 Oggetto: |
|
|
Ciao, purtroppo si è verificato lo stesso problema di ieri, dopo un'attesa di 8 ore nella notte, il pc continuava ad essere bloccato sulla schermata di attesa di 10 minuti, se molto infetto potrebbe raddoppiare. con sfscript non ne vuole sapere.
combofix in se invece funziona, se servisse ti allego file della scansione serale di ieri
log.txt
grazie! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 01 Giu 2012 08:08 Oggetto: |
|
|
Veramente strano...
Vediamo di procedere in modo diverso.
- Scarica questo programma e salvalo sul desktop
- Avvia il pc in Modalità provvisoria
- Esegui il programma aswclear.exe, scaricato poco prima
- Clicca Uninstall
- Chiudi il programma, ti chiederà di riavviare il pc
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Dimenticavo:
Fai anche questa scansione con DDS. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 01 Giu 2012 17:13 Oggetto: |
|
|
Ciao bdoriano, intanto grazie!
ho proceduto come mi hai detto...in modalità provvisoria aswclear.exe non compare, ho lavorato in modalità tradizionale.
Ho utilizzato CFScript.txt per SkipFix, stavolta ha funzionato...
ti posto il log di combofix aggiornato...
log.txt
la scansione con dds.scr, subito dopo la schermata che posto sotto...scompare e purtroppo non da nessun report...
sono ora riuscito ad ottenerli dopo alcuni tentativi, li riporto sotto
dds.txt
attach.txt |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 01 Giu 2012 19:28 Oggetto: |
|
|
Direi di fare una scansione con un CD live.
Segui le istruzioni di questa discussione (anche se non è aggiornata). |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 02 Giu 2012 04:59 Oggetto: |
|
|
posto il log del cd-live di kaspersky che ha rilevato Win32 Generic, purtroppo non riesco a caricare il log
Objects Scan: completed <1 minute ago (events: 22, objects: 1180929, time: 07:24:21)
6/2/12 4:17 AM Task completed
6/2/12 4:16 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/2/12 4:13 AM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 11:17 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP522/A1340282.dll/DoomPack
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack Postponed
6/1/12 10:57 PM Untreated: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack Postponed
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340197.dll/DoomPack
6/1/12 10:57 PM Detected: HEUR:Trojan.Win32.Generic C:/System Volume Information/_restore{A4A18ADA-BEB3-44BC-8F2A-CC9583134A17}/RP518/A1340196.dll/DoomPack
6/1/12 10:30 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/JVM/jre-6u3-windows-i586-p.exe/data0000.res/Data1.cab/core2.zip Read error
6/1/12 10:28 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD 13 Italiano.rar/ArchiCAD 13 - a 32 bit in Italiano/archive.jar Read error
6/1/12 10:27 PM Processing error C:/Programmi/eMule/Incoming/Archicad 12 Ita curato.rar/Archicad 12 Ita/ArchiCAD 12/archive.jar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip Read error
6/1/12 10:26 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Shakira - She Wolf (CDM-2009).rar Read error
6/1/12 10:25 PM Processing error C:/Programmi/eMule/Incoming/Black.Eyed.Peas.-.[The.E.N.D.(Deluxe.edition)].专辑.(mp3).rar/Black Eyed Peas -The E.N.D/101 Black Eyed Peas - Boom Boom Pow.mp3 Read error
6/1/12 10:23 PM Processing error C:/Programmi/eMule/Incoming/ArchiCAD-12-ITA+Tutorial ita.zip/Graphisoft-ArchiCAD-12-ITA+Tutorial ita/ArchiCAD-12-ITA-BIM-Guida-di-Apprendimento-Interattiva-Windows.exe Read error
6/1/12 8:52 PM Task started |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 02 Giu 2012 09:20 Oggetto: |
|
|
Ok.
Disabilita il ripristino di sistema
Vediamo se ora Combofix è più collaborativo.
Scarica la nuova versione di Combofix e effettua una nuova scansione.
Posta il log al solito modo. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 02 Giu 2012 10:59 Oggetto: |
|
|
Posto il log di Combofix... come prima non funziana ne wikisend nè wikifortio
lo carico per intero sotto ...ho provato anche con cfscript ma nulla come prima
ComboFix 12-06-02.02 - Windows 02/06/2012 10.07.12.7.2 - x86
Eseguito da: c:\documents and settings\Windows\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-02 al 2012-06-02 )))))))))))))))))))))))))))))))))))
.
.
2012-06-01 20:45 . 2012-06-02 04:17 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-06-01 11:34 . 2012-06-01 11:34 -------- d-sh--w- c:\documents and settings\Administrator.FUJITSU\PrivacIE
2012-05-29 19:28 . 2012-05-29 19:28 -------- d-----w- c:\windows\system32\wbem\Repository
2012-05-29 19:24 . 2012-05-30 04:01 -------- d-----w- c:\programmi\Innovative Solutions
2012-05-29 19:20 . 2012-05-29 19:20 -------- d-----w- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Innovative Solutions
2012-05-29 05:43 . 2012-05-29 05:43 -------- d-----w- C:\AMD
2012-05-22 04:55 . 2012-05-22 11:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PhotoME
2012-05-11 18:40 . 2012-05-11 18:40 -------- d-----w- C:\b677b0d6a3f0bc033241d72048b7ae
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 19:38 . 2010-07-09 08:54 6104168 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2012-04-11 13:51 . 2004-08-04 00:48 2030080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2005-10-06 03:08 1862272 ----a-w- c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2004-09-07 12:00 2151936 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-04 13:56 . 2010-07-10 03:44 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-18 18:55 . 2012-03-17 16:55 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-03-18 08:44 . 2012-03-18 08:44 388096 ----a-r- c:\documents and settings\Windows\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL.EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(6).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(5).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(4).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(3).EXE
2012-03-14 13:40 . 2010-07-09 08:54 20065896 ----a-w- c:\windows\RTHDCPL(2).EXE
.
.
((((((((((((((((((((((((((((( SnapShot@2012-06-02_07.19.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-02 07:29 . 2012-06-02 07:29 16384 c:\windows\Temp\Perflib_Perfdata_8f8.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSIDLL"="BoIEzuFSaaK" [X]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
"OfficeSyncProcess"="c:\programmi\Microsoft Office\Office14\MSOSYNC.EXE" [2011-07-21 718720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-17 64512]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2011-06-24 1458176]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
"MyGarminAgent"="c:\programmi\Garmin\MyGarminAgent\MyGarminAgent.exe" [2010-03-16 337256]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"BCSSync"="c:\programmi\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-16 258512]
"RTHDCPL"="RTHDCPL.EXE" [2012-03-14 20065896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:14 1695232 ------w- c:\programmi\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programmi\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
.
R1 aswSnx;aswSnx; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Servizio Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [2003-04-18 8192]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
R3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 116648]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programmi\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
R3 osppsvc;Office Software Protection Platform;c:\programmi\File comuni\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 PuranDefrag;PuranDefrag;c:\windows\system32\PuranDefragS.exe [2011-04-08 229376]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-16 36000]
S1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [2011-12-16 86224]
S2 ArcGIS License Manager;ArcGIS License Manager;c:\programmi\ESRI\License\arcgis9x\lmgrd.exe [2008-08-02 1431440]
S2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programmi\Nitro PDF\Professional\NitroPDFDriverService.exe [2010-10-20 196928]
S2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [2010-10-20 67904]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 22344]
S3 NETwLx32; Driver scheda Intel(R) Wireless WiFi Link 5000 Series per Windows XP 32 Bit;c:\windows\system32\DRIVERS\NETwLx32.sys [2011-12-04 6609920]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2012-04-08 17:52]
.
2012-06-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003Core1ccc3ea29ddbae4.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-287218729-725345543-1003UA.job
- c:\documents and settings\Windows\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-10 09:12]
.
2012-06-02 c:\windows\Tasks\User_Feed_Synchronization-{73E6A59E-C0D2-45B1-8967-06923E2C3D7B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: I&nvia a OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{F0077504-8AA1-463E-9226-F4FC36D7F463}: NameServer = 85.37.17.7 85.38.28.95
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-02 10:15
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-606747145-287218729-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:20,7c,6a,f7,2f,c9,3a,65,20,65,20,ed,db,57,be,3c,c3,4b,b0,c6,59,
87,fa,31,87,07,18,da,3f,40,c2,17,ef,c1,dd,10,07,3a,1d,2b,1f,0b,9f,74,e7,10,\
"rkeysecu"=hex:74,3c,5e,77,e0,fd,4f,4c,ac,f4,90,4f,8a,e1,79,ce
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(952)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2364)
c:\windows\system32\WININET.dll
c:\progra~1\FILECO~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1040\GrooveIntlResource.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2012-06-02 10:18:26
ComboFix-quarantined-files.txt 2012-06-02 08:18
ComboFix2.txt 2012-06-02 07:22
ComboFix3.txt 2012-06-01 11:57
ComboFix4.txt 2012-05-31 18:51
ComboFix5.txt 2012-06-02 07:43
.
Pre-Run: 28,698,243,072 byte disponibili
Post-Run: 28,680,777,728 byte disponibili
.
- - End Of File - - BF0AB0ABDFAD1BB32C8D0DB66FE8B716 |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 02 Giu 2012 12:32 Oggetto: |
|
|
Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:
Citazione: | MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200000d
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`065f9a00 (NTFS)
Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365
Done!
Press ENTER to exit... |
Al termine, troverai sul desktop un file con un nome simile a MBRCheck_MM.gg.aa_hh.mm.ss.txt.
Postalo, secondo le solite modalità.
- Scarica aswMBR e salvalo sul desktop
- Avvia aswMBR.exe
- compare una finestra nera con, all'interno, un'altra finestra:
This application can use the Avast! Free Antivirus for scanning.
It is recommended to download it for bettere detection results.
Would you like to download latest Avast! virus definitions?
- clicca No
- clicca Scan e attendi pazientemente la fine dei lavori
- clicca Save log
- clicca Exit
- compare una nuova finestra:
Are you sure you want to exit the program?
- clicca Si
- sul desktop troverai i files:
aswMBR.txt è il log appena creato
MBR.dat è una copia del contenuto dell'MBR del tuo disco fisso
zippali in unico file e postalo secondo le solite modalità
|
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 03 Giu 2012 07:46 Oggetto: |
|
|
MBRCheck non ha rilevato minacce.
Discorso diverso, invece, per aswMBR... anche qui non sembra ci siano tracce di malware e la copia del tuo MBR risulta linda e pulita, ma... c'è un valore non standard:
Codice: | 00:15:39.218 Disk 0 PE file @ sector 156280334 ! |
che potrebbe anche essere dovuto ai rimasugli di una precedente infezione... ma non si sa mai.
Facciamo un ulteriore controllo:
- Avvia nuovamente aswMBR.exe
- compare una finestra nera con, all'interno, un'altra finestra:
This application can use the Avast! Free Antivirus for scanning.
It is recommended to download it for bettere detection results.
Would you like to download latest Avast! virus definitions?
- stavolta clicca Yes
- clicca Scan e attendi pazientemente la fine dei lavori
- clicca Save log
- clicca Exit
- compare una nuova finestra:
Are you sure you want to exit the program?
- clicca Si
- sul desktop troverai i files:
aswMBR.txt è il log appena creato
MBR.dat è una copia del contenuto dell'MBR del tuo disco fisso
zippali in unico file e postalo secondo le solite modalità
- Scarica questo programma e salvalo in C:\
- Clicca Start
- Clicca Esegui...
- Digita:
Clicca su ok
si apre la finestra DOS, digita:
premi invio
digita:
premi invio
digita:
premi invio
Posta il log C:\mbr.log secondo le solite modalità |
|
Top |
|
 |
|