Olimpo Informatico

[Dink the Boss]

ok allora avevo usato anche bene regrun platinum....trovava 7-8 cose gialle...ma a mio parere abbastanza normali....programmi del Vaio (modello della sony...portatile...)

HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\VAIO_VEDB\MSSQLServer\uptime_time_utc 04/07/2006 1.10 8 bytes Data mismatch between Windows API and raw hive data.


Ecco invece il piccolo log del Rootkit

GRAZIE ANCORA!

ps: sembra andare meglio....explorer ora è a 28mega...svchost a 16....

internet rifuziona...quindi già è qualcosa...

che dici faccio n'altra scansione online? e provo a fare anche l'altra oltre a kaspery?

[holifay]

Sì, mi sembra meglio.

Prova a fare una cosa: apri una finestra del dos (Start>esegui, digita CMD e poi premi invio)

Poi adesso apri task manager e termina il processo Explorer. Se non riparte da solo, avvialo tu dall finestra di dos digitando explorer (invio)

Questo nuovo explorer aperto adesso occupameno memoria?

Da una prima occhiata al log ho visto che hai il Download Accelerator Plus. Ti consiglio di rimuoverlo, secondo alcuni è un adware. Altro non ho visto, anche perchè in via preventiva ti avevo fatto resettare con Avenger la Appinit_DLLs

Il log di RKR è perfetto

Ti consiglio ancora:
1) scansione online con House call (o Panda)
2) Una passata dalla modalità provvisoria con Virit
3) se proprio vuoi strafare, scarica Ewido, aggiornalo e usalo dalla mod. provvisoria.
4) scarica winpfind e posta un log.

Se sopravvive qualcosa, saranno solo gli acari della polvere

Al termine, posta un nuovo log di HijackThis

Ciao!

[Dink the Boss]

ci sto buttando il sangue senza un attimo di pausa da oggi alle 3 del pome.... per cui devono morire anche gli acari

Spero solo ke i valori di explorer tornino normali...perkè altrimenti non so proprio che sia

ora faccio tutto quello che mi hai detto....house call , virit e ewido

Poi posto il log di winp e di hijak e vediamo 1pò!

ps: con regrun...se faccio scan for virus..ora mi trova un maledetto file .sys che si va a creare nella cartella windows/driver...ogni volta con un nome diverso...

[Dink the Boss]

Avrò dormito 1-2 ore per seguire passo passo tutti i processi... virit ha trovato 4 file infetti e li ha tolti...ecco i due log

Purtroppo per far funzionare l'adsl in wireless (e non attaccandomi al router con il cavo) ho dovuto attivare TUTTI I SERVIZI di services.msc ...perchè non riesco a capire quali posso disattivare...e non appena ne disattivo qualcuno il wireless non funziona +....

WINPFind

[holifay]

Ok, riesci a mandarmi questa dll? Non mi piace molto...
C:\WINDOWS\SYSTEM32\wodfamoh.dll
Zippala e mandala per favore a www.suspectfile.com

Queste chiavi sono da eliminare, sono relative ai file già cancellati. Puoi farlo tu da regedit oppure usare Avenger come prima, in questo caso lo script che dovrai incollare è questo:

[Dink the Boss]

fatto mandato

senti avevo fatto la scansione con housecall e mi aveva trovato 2 grayware... uno mi sa ke lo ha tolto, l'altro per vedere le info specifiche del file non mi ha fatto + tornare indietro...

mi conviene rifarla? non c'è un modo per salvare il log di house call..

poi mi ha trovato molte vulnerabilità...penso di dover fare 1pò di updgrade del SP2...

una domanda...ma quando scarico gli aggiornamenti ''con windows update''....poi devo installarli a mano?

Roba tipo strumento di rimozione malaware per windows...dove me lo mette?

-----------------

Ok sto scaricando gli aggiornamenti e sto facendo una scansione con PANDA ...che mi sembra + facile di house call ed è in italiano

[Dink the Boss]

Panda non ha rilevato minacce.

Mo faccio di nuovo house call...

[holifay]

sicuro di averlo inviato? Non lo trovo... a meno che non lo stia già analizzando qualcun altro

Sì, devi ripetere la scansione online, ma questa volta farà prima perchè ha già scaricato il database con le impronte virali. Non ricordo se c´è un modo per salvare il log di House call...

[Dink the Boss]

Probabilmente lo starà analizzando qualcunaltro, cmq te lo invio di nuovo....? o si incazzano?

Ho anche la ricevuta della mail...

Ho finito ora house call e finalmente ha tolto tutto ora dice solo di togliere le vulnerabilità...e penso che quelle le tolgo con le varie patch da windows update...ke non ho capito se una volta scaricate devo installarle manualmente..o fa tutto lui

Diciamo che il pc dovrebbe essere pulito, mi manca solo da disattivare i servizi inutili da services.msc dato che ora sono tutti attivi e quando parte il file di pagin è già a 300....giustamente. Mo devo capire bene quali posso togliere... cercando di non togliere quelli che facciano disabilitare il router.

Stranamente però...avrò il pc pulito, ma explorer e svchost continuano ad avere valori altini.. 24 explorer e 24 svchost...

Quello che vedo è ke appena si avvia il pc, parte tipo da 12 e poi inizia a salire a botte di 1 mega al secondo...fino a bloccarsi a 24...boh!

Cmq, la cosa positiva è ke se il pc è fermo senza far nulla Utilizzo della CPU è fermo a 0% , ogni tanto va a 2%...3% ma torna subito a 0.

Penso sia normale...

fammi sapere come possiamo continuare ad indagare

(potrebbe essere il caldo...e il processore ''stanco''? io ho un centrino, Sony Vaio...di solito non è mai stato caldo... però ultimamente...sarà il caldo maledetto ke fa...è bello calduccio... )


Senti...in c:\ mi sono apparsi 1pò di programmi alcuni .exe altri .bat e i log di alcune applicazioni che abbiamo fatto... è normale? gli exe e i bat.

Li ho controllati con kaspersky file scanner e dice ke sono puliti... e sono tutti con data di creazione oggi...

avexport.bat
rkbkcdam.bat
saf^tjdr.bat [questo è stato anche messo in avvio automatico..probabilmente è un programma ke toglie i virus ke bisogna cancellare all'avvio di windows automaticamente...di house call forse...)
zip.exe

mmmmmmmmmmmmmmmmmmm

[Dink the Boss]

Inizio ad essere soddisfatto di tutta la pulizia... explorer gira sui 10 mega e quel svchost [ke cmq anche prima degli ''ipotetici problemi'' non era da meno se non sbaglio...] gira sui 20 mega.

Non c'è cmq l'incremento vertiginoso all'inizio.. e il pc va bene in tutto.

Sto ricontrollando piano piano tutti i programmi se funzionano [avendo tolto alcuni file...]

e finalmente sembra di aver trovato una impostazione giusta per i servizi di windows...FINALMENTE.

Parto con circa 200 mega di file di paging... va bene no?

Grazie mille a te !!

Senti ti metto nuovamente il file hijack...per controllare DEFINITIVAMENTE...

[Dink the Boss]

Non capisco perchè ho riavviato e explorer è di nuovo a 25....

mmmm ora faccio un altra scansione con kasper e vediamo cosa fa...

-----------

Clamoroso...ho letto girando su internet di un ''ipotetico'' problema del Nokia Pc Suite..l'ho disinstallato e stranamente i valori di explorer sono tornati normali... prima era a 5...ora a 9... oddio

Invece n'altro coso del nokia non riesco a toglierlo...nel pannello di controllo, installazioni applicazioni clicco su

NOKIA PC CONNECTIVITY SDK 3.0 ....se blocca per 10 secondi...e poi torna normale senza aver cancellato niente.... mmmmmmmmm

come faccio a cancellare con forza questo programma?

[holifay]

Sono contenta che hai risolto
Ma se la suite di nokia ti serve, prova a scaricare l´ultima versione aggiornata e reinstallarla sopra quella, magari va a posto.

Io non sono molto brava con le disinstallazioni manuali: elimino le cartelle brutalmente e poi faccio una passata on regcleaner... ti consiglio di chiedere nel forum software.

Il tuo log è pulito e secondo me anche il PC. Prova solo ad aprire i file bat che mi segnalavi, basta che apri il blocco note e li trascini lì dentro. Almeno sappiamo cosa contengono

Ciao

[Dink the Boss]

mmmm forse era un caso boh, adesso sono di nuovo sulla 20... cmq sia ho provato 1pò di programmi e sembra andare fluido...

il sistema è pulito con tutti i programmi e scansioni online...

[holifay]

OK


Per favore, faresti ancora qualche controllo?

1) Scarica GMER.EXE. Avvialo, vai sul Tab Rootkit , clicchi su Scan . Al termine della scansione posta il contenuto.

2) Posta per favore anche il contenuto del tab Autostart di GMER. Aprilo, clicca Scan, poi Copy e poi incollalo qui (Ctrl + V)

3) posta il contenuto degli ADS con HijackThis. Apri HijackThis, premi Open the misc tools section, poi clicchi su Open Ads Spy... e togli il segno di spunta sulla casella Quick Scan. Fai riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?a...pa&cod=4696
Al termine salva il log e posta qui il contenuto


Verifica poi se hai una strana cartella di 3 cifre in C:>Documents and Settings> che contiene una serie di altre cartelle, simile a quella del tuo profilo

Infine verifica se hai dei file eseguibili nascosti in C:>programmi

Dopo di che, possiamo riposare tranquilli

[Dink the Boss]

[non ho ancora letto tutto il tuo msg...solo l'inizio con il per favore ]

Scherzi certo che faccio tutti i controlli che mi chiedi

Mi hai aiutato tu... come posso dirti di no

Ora leggo le rikieste

[Dink the Boss]

Bene partiamo! Li metto separati così li puoi studiare per bene...allora!

Rootkit

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-07-05 21:27:19
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT sptd.sys ZwCreateKey
SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey
SSDT sptd.sys ZwOpenKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT sptd.sys ZwQueryKey
SSDT sptd.sys ZwQueryValueKey
SSDT sptd.sys ZwSetValueKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 82D8FBF8
Device \Driver\tifmsony \Device\TIFMDEVICE-0 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\00000053 \Device\00000051 IRP_MJ_SYSTEM_CONTROL [F83E0F68] sptd.sys
Device \Driver\00000053 \Device\00000051 IRP_MJ_DEVICE_CHANGE [F83F5A70] sptd.sys
Device \Driver\00000053 \Device\00000051 IRP_MJ_PNP_POWER [F83EE728] sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 82DD81D0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 82DD81D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 82D648E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSEIRP_MJ_READ 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA 8212CA90
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_PNP 8212CA90
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CREATE 82DD81D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 82D648E8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 820FBA58
Device \Driver\NetBT \Device\NetBT_Tcpip_{2554FD64-19FE-43B9-AD17-AC924003E065} IRP_MJ_CREATE 820FBA58
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 820FBA58
Device \Driver\NetBT \Device\NetBT_Tcpip_{83286115-D32D-4D31-8FBA-F04C83C27D2A} IRP_MJ_CREATE 820FBA58
Device \Driver\tifmsony \Device\00000089 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 82D8FEB0
Device \Driver\Disk \Device\Harddisk1\DR4 IRP_MJ_CREATE 82D8FEB0
Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+5 IRP_MJ_CREATE 82D8FEB0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSEIRP_MJ_READ 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP_POWER 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSEIRP_MJ_READ 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 8212B9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP_POWER 8212B9C0
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSEIRP_MJ_READ 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION 82137AD8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_EA 82137AD8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 82DD81D0
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE 82137EB0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port1Path0Target0Lun0 IRP_MJ_CREATE 82C3CE40
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port1Path0Target0Lun0 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CREATE 82C3CE40
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_SHUTDOWN [F85E795C] sfsync03.sys
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 820DEDB8

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\catalog.wci
File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{C2ED04C9-B483-4D4F-83BF-03B22D5ED687}
File D:\System Volume Information\MountPointManagerRemoteDatabase
File D:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----

[Dink the Boss]

Autostart

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-07-05 21:27:58
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
igfxcui@DLLName = igfxdev.dll
VESWinlogon@DLLName = VESWinlogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Adobe LM Service /*Adobe LM Service*/@ = "C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe"
MSCSPTISRV /*MSCSPTISRV*/@ = "C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe"
MSSQL$VAIO_VEDB /*MSSQL$VAIO_VEDB*/@ = C:\Programmi\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB /*file not found*/
MSSQLServerADHelper /*MSSQLServerADHelper*/@ = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe
PACSPTISVR /*PACSPTISVR*/@ = "C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe"
RegSrvc /*RegSrvc*/@ = C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
VAIO Event Service /*VAIO Event Service*/@ = C:\Programmi\Sony\VAIO Event Service\VESMgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@{0228e555-4f9c-4e35-a3ec-b109a192b4c2}C:\Programmi\Google\Gmail Notifier\gnotify.exe = C:\Programmi\Google\Gmail Notifier\gnotify.exe
@SonyPowerCfgC:\Programmi\Sony\VAIO Power Management\SPMgr.exe = C:\Programmi\Sony\VAIO Power Management\SPMgr.exe
@MessengerPlus3"C:\Programmi\MessengerPlus! 3\MsgPlus.exe" = "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@msnmsgr = "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks >>>
@{F552DDE6-2090-4bf4-B924-6141E87789A5}C:\Programmi\RegRunSuite\RRShell.dll = C:\Programmi\RegRunSuite\RRShell.dll
@{57B86673-276A-48B2-BAE7-C6DBB3020EB8}C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/(null) =
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{ED58A35B-B554-42AF-A26C-6F3D424200D3} /*Sony Power Management Extensiond*/C:\Programmi\Sony\VAIO Power Management\SPMPanel.dll = C:\Programmi\Sony\VAIO Power Management\SPMPanel.dll
@{C6643EC0-49AC-4c15-A455-04104DB900A9} /*Image Converter context menu extension*/C:\PROGRA~1\Sony\IMAGEC~1\CtxMenu.dll = C:\PROGRA~1\Sony\IMAGEC~1\CtxMenu.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Web Folders*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL = C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{C81DCBCA-8AE2-41FC-9C39-78B160393210} /*RhinoShExt*/C:\WINDOWS\system32\RhinoShExt.dll = C:\WINDOWS\system32\RhinoShExt.dll
@{F802F260-519B-11D1-BB5D-0060974C6013} /*ICQ Shell Extension*/C:\Programmi\ICQ\ICQShExt.dll = C:\Programmi\ICQ\ICQShExt.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
ImageConverter2@{C6643EC0-49AC-4c15-A455-04104DB900A9} = C:\PROGRA~1\Sony\IMAGEC~1\CtxMenu.dll
RhinoShExt@{C81DCBCA-8AE2-41FC-9C39-78B160393210} = C:\WINDOWS\system32\RhinoShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
ICQLiteMenu@{73B24247-042E-4EF5-ADC2-42F62E6FD654} =
ImageConverter2@{C6643EC0-49AC-4c15-A455-04104DB900A9} = C:\PROGRA~1\Sony\IMAGEC~1\CtxMenu.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pageabout:blank = about:blank

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2554FD64-19FE-43B9-AD17-AC924003E065} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.1.22 = 192.168.1.22
@NameServer195.32.107.46,212.216.112.112 = 195.32.107.46,212.216.112.112
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{83286115-D32D-4D31-8FBA-F04C83C27D2A} /*Connessione rete senza fili*/ >>>
@IPAddress192.168.1.3 = 192.168.1.3
@NameServer192.168.1.1,192.168.1.2 = 192.168.1.1,192.168.1.2
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll

---- EOF - GMER 1.0.10 ----

[Dink the Boss]

ADS con HijackThis
[ho fatto solo open the misc, open ads spy , tolto la spunta su quick scan...e nient\'altro...nel link ke mi hai dato..non ci sono guide.. ^^]

ho fatto scan...ha fatto tutto...ma non mi ha dato niente da salvare...se clicco su save log non da niente....

ho dovuto togliere la v anche a ignore safe... quindi niente V su nessuna delle tre opzioni!

è 1pò lunghetto....lo metto in carattere piccolo...

Citazione:

log eliminato - holifay

[Dink the Boss]

Per le altre due richieste....

Verifica poi se hai una strana cartella di 3 cifre in C:>Documents and Settings> che contiene una serie di altre cartelle, simile a quella del tuo profilo

Guarda ho esattamente 4 cartelle

- Administrator
- All users
- Default user [nascosta]
- utente

Infine verifica se hai dei file eseguibili nascosti in C:>programmi

Allora in c programmi nessun eseguibile ne nascosto ne altro.

Ci sono tre cartelle nascoste

- Unistall Information
- Windows Update
- InstallShield Installation Information



Dal fronte...è tutto

[holifay]

Mi sembra proprio tutto a posto.

Hai mica qualche problema a sentire i CD, vedere i DVD o installare giochi?