Olimpo Informatico

[chemicalbit]

[chemicalbit]

Mi sono accorto che lei ha eseguito un file che AVG Antispyware identifica come Backdoor.Hupigon
(ma che non lo identificava come tale quando quel file è transitato sul mio computer )

L'ho uplodato su VirusTotal e a parte Eiwdo (che è AVG Antispyware, giusto?) anche altri 2 o 3 prodotti dicono che è sospetto.

Ora sono di corsa, maggiori dettagli dopo (verso le 6 pm , penso).

[bdoriano]

[chemicalbit]

VirusTotal: risultato in formato tabella e
risultato in formato HTML

VirSCAN.org: risultato

Virusscan Jotti : risultati



--------------

[bdoriano]

[chemicalbit]

[chemicalbit]

Il log di KASPERSKY VIRUS REMOVAL TOOL tarda ad arrivare,
oggi non ha potuto farlo.

Vedo se riesco a postarlo domani mattina, o domani sera.
(Anche perché per postarlo deve aspettare che c'incontriamo, visto che lei nonriesce a connettersi ad internet)


A proposito :

Ora ha rimosso dei virus, ecc.

Devo dirle di provare a connettersi, e vedre se ora riesce?
O al contrario, siccome non siamo sicuri che sia stato ripulito tutto, è decisamente meglio che non si connetta?

[bdoriano]

Prima di tentare la connessione, è meglio vedere i vari logs (kaspersky, combofix, gmer e hijackthis).
Se non riscontriamo infezioni, dovrà prima caricare il ServicePack2 e poi collegarsi.

[chemicalbit]

combofix è qui sopra,

hijackthis dovrà rifarlo nuovo , o basta quello vecchio?

Kaspersky lo sta facendo,
l'ho sentita ora al telefono e ci sta impiegando un sacco (il tempo stimato di completamento al solito "balla" avanti e indietro. Tra l'altro ha scandito 2 volte la cartella documenti, la seconda volta più velocemnte. Boh.)

Per il momento le ha trovato dei Badjoke.Win32. ... (2 tipi diversi) in uan cartella con programmi scherzosi ( tipo che ti resettanoilpc, ecc. Quindi o falsi positivi, oppure appuntoavvisa che si tratta diquel tipo di programmi).

E dei file -parechci- in una cartella che dal nome è la quarantena di Norton antivirus ... soloche lei norton l'ha disintallato tempo fa!
(Non si rimuove la quarantena disinstallando il programma?)

Quanto a gmer, non mi ricordo che mi avevi detto di farle fare, deve fare anche quello?
(mi sa chi mi spara ... )

[bdoriano]

[chemicalbit]

Ecco il log di Kaspersky
(c'ha messo 5 ore e mezza!)

l'ho dovuto accorciare, sennò era troppo grande e non riuscivo ad hostarlo
(e venivano elencati tutti i file della mia amica, cosa che non so se lei gradisca, ...anzi .... )

Ho tolto quindi la parte "events", che elenca tutti i file controllati.

Kaspersky_2008apr26sab_corto.log

Log di HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.29.03, on 26/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: setup_7.0.0.180_23.04.2008_13-43 - Kaspersky Lab - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6747 bytes



Combofix lo posto appena riesce a farlo.

[bdoriano]

A parte un paio di BadJoke (scherzi) e la quarantena di Norton, ha trovato solo traccie di un virus che si autoaggiorna via FTP.

Il log di hijackthis, invece, mostra alcune voci preoccupanti non riscontrate da Kaspersky (spero che risultino già eliminate).

Aspetto di vedere il log di combofix.

[chemicalbit]

Dunque ecco il risultato di Combofix e il log di HijackThis,
dopo aver fatto Kaspersky Lab Tool

Nota: dopo però ha cambiato alcune cose,
per cui abbiamo rifatto sia Combofix che HijackThis. Li posto nel messaggio seguente.

Questi sono i log di prima di quelle modifche (chimiamoli "del mattino")
Li posto comunque nel caso ti servissero.

combofix del mattino

ComboFix 08-04-20.2 - stefania 2008-04-27 9.20.45.2 - NTFSx86
Eseguito da: C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\antivirus giorgio2\Altri\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-03-27 al 2008-04-27 )))))))))))))))))))))))))))))))))))
.

2008-04-22 17:42 . 2008-04-22 17:42 <DIR> d-------- C:\Programmi\CCleaner
2008-04-20 17:15 . 2008-04-20 17:15 <DIR> d-------- C:\Programmi\SAGEM
2008-04-20 12:13 . 2008-04-20 12:13 <DIR> d-------- C:\WINDOWS\Cronologia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 07:19 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\OpenOffice.org2
2008-04-22 16:21 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-04-20 15:15 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-20 15:15 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-20 12:18 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\AVG7
2008-03-02 16:53 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\PCF-VLC
2008-03-02 16:00 --------- d-----w C:\Programmi\Miro
2008-03-02 16:00 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\Participatory Culture Foundation
2008-03-02 15:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-02 13:28 --------- d-----w C:\Programmi\IrfanView
2007-04-25 18:13 34,304 --sha-w C:\Programmi\Thumbs.db
2005-05-15 05:10 56 --sh--r C:\WINDOWS\system32\A0DE8C0F4E.sys
2005-05-15 05:10 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-23_18.38.16.24 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-23 16:32:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-27 07:17:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-23 16:33:03 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-04-27 07:23:01 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-04-23 16:33:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
+ 2008-04-27 07:23:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
- 2008-04-23 16:33:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2008-04-27 07:23:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2007-07-05 12:34:52 134,160 ----a-w C:\WINDOWS\system32\drivers\klif.sys
- 2008-04-23 15:29:48 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-27 07:21:37 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-23 15:29:48 47,592 ----a-w C:\WINDOWS\system32\perfc010.dat
+ 2008-04-27 07:21:37 47,592 ----a-w C:\WINDOWS\system32\perfc010.dat
- 2008-04-23 15:29:48 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-27 07:21:37 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-04-23 15:29:48 345,010 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-04-27 07:21:37 345,010 ----a-w C:\WINDOWS\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-31 14:00 13312]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2001-08-02 08:14 1077277]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 14:58 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe" [2000-11-22 05:40 462848 C:\WINDOWS\sm56hlpr.exe]
"AdaptecDirectCD"="C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2001-09-14 12:34 655360]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-20 10:57 579072]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2005-07-25 17:52 26112]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"AVP"="C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe" [2007-10-12 16:29 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Starting up"="wvsvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-31 14:00 13312]
"Modem Driverz Updates"="mdmdrv.exe" []
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-28 10:58 219136]

C:\Documents and Settings\stefania\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-20 17:15:19 962663]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2002-07-09 17:58:26 128000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sound Service]
@="Service"

S2 AIM;AOL Instant Messanger;"C:\WINDOWS\aim.exe" []
S2 setup_7.0.0.180_23.04.2008_13-43;setup_7.0.0.180_23.04.2008_13-43;"C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe" -r []
S2 Sound Service;Sound Sservice Driver ;C:\WINDOWS\System32\cfmon.exe []

*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-27 07:23:01 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 09:23:22
Windows 5.1.2600 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-04-27 9.26.57
ComboFix-quarantined-files.txt 2008-04-27 07:26:55
ComboFix2.txt 2008-04-23 16:38:40

10 Directory 7,707,693,056 byte disponibili
12 Directory 7,700,348,928 byte disponibili

105

HijackThis del mattino
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.01.58, on 27/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6251 bytes


Dopo di ciò, come dicevo abbiamo fatto altre operazioni.
Maggiori dettagli e log aggiornati nel prossimo messaggio.

[chemicalbit]

Dopo di che abbiamo rifatto una scansione con Norman Malware Cleaner.

E' durato abbastanza di più del precedente (ma mai quanto sul mio computer ...), e non ha trovato nulla
NFix_2008-04-27_11-36-36.log

Poi abbiamo installato il Service Pack 2 di Windows XP,

e installato un masterizzatore DVD (che un annetto prima, non ho ancora capito il perché, non funzionava; e ora sì) e InfraRecorder (uno dei programmi gratuiti di masterizzazione indicati in questa discussione)

e qualche altra modifica minore (lo spostamento/rinominaizone di alcune cartelle, ecc.)


A quel punto, visto che un po' di cose erano cambiate, ho fatto un nuovo log di HijackThis
(non pensavo di avere tempo per fare anche combofix)

Log di HijackThis del pomeriggio (dopo l'installazione del sp2)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.37.57, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\HijackYhis\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6354 bytes



Poi ho avuto tempo di fare anche combofix
(che ha fatto absbtanza in fretta).

Tra l'altro ho avuto un piccolo problema,
mi sono accorto che non avevo chiuso tutti i programmi nell'area di notifica vicino all'orologio. "Beh, li chiudo, nel frattempo combofix è fermo sulla schermata inziale inatesa che io prema '1' . Quanto avrò finito finito di chiudere i programmi, premerò '1' e partirà".
Quanto sono tornato a guardare la finestra stava già andando. (e non posos aver premuto la tastiera, che era stata messa da parte perché stavamo già liberando la scrivania)

log di combofix del pomeriggio (dopo l'installazione del sp2)

combofix 27apr dopo sp2.txt
(non lo posto nel forum perché sono 392 kb ...)


EDIT: log di combofix a cui ho tolto la seziona più lunga.

ComboFix 08-04-20.2 - stefania 2008-04-27 19.54.08.3 - NTFSx86
Eseguito da: C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\antivirus giorgio2\Combofix\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-03-27 al 2008-04-27 )))))))))))))))))))))))))))))))))))
.

2008-04-27 16:34 . 2008-04-27 16:34 <DIR> d-------- C:\Programmi\InfraRecorder
2008-04-27 16:34 . 2008-04-27 17:13 <DIR> d-------- C:\Documents and Settings\stefania\Dati applicazioni\InfraRecorder
2008-04-27 14:33 . 2008-04-27 14:33 <DIR> d-------- C:\Documents and Settings\LocalService\Menu Avvio
2008-04-27 14:29 . 2008-04-27 14:29 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-27 14:26 . 2004-08-19 15:39 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-27 14:21 . 2008-04-27 14:21 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-04-27 14:16 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002350_.tmp
2008-04-27 14:15 . 2004-08-03 22:43 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-27 14:11 . 2008-04-27 14:11 <DIR> d-------- C:\WINDOWS\EHome
2008-04-22 17:42 . 2008-04-22 17:42 <DIR> d-------- C:\Programmi\CCleaner
2008-04-20 17:15 . 2008-04-20 17:15 <DIR> d-------- C:\Programmi\SAGEM
2008-04-20 12:13 . 2008-04-20 12:13 <DIR> d-------- C:\WINDOWS\Cronologia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 17:54 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\OpenOffice.org2
2008-04-22 16:21 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-04-20 15:15 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-20 15:15 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-20 12:18 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\AVG7
2008-03-02 16:53 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\PCF-VLC
2008-03-02 16:00 --------- d-----w C:\Programmi\Miro
2008-03-02 16:00 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\Participatory Culture Foundation
2008-03-02 15:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-02 13:28 --------- d-----w C:\Programmi\IrfanView
2007-04-25 18:13 34,304 --sha-w C:\Programmi\Thumbs.db
2005-05-15 05:10 56 --sh--r C:\WINDOWS\system32\A0DE8C0F4E.sys
2005-05-15 05:10 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-23_18.38.16.24 )))))))))))))))))))))))))))))))))))))))))

vedere log completo. combofix 27apr dopo sp2.txt

-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-08-19 15:39 1667584]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 14:58 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe" [2000-11-22 05:40 462848 C:\WINDOWS\sm56hlpr.exe]
"AdaptecDirectCD"="C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2001-09-14 12:34 655360]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-20 10:57 579072]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2005-07-25 17:52 26112]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Starting up"="wvsvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:39 15360]
"Modem Driverz Updates"="mdmdrv.exe" []
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-28 10:58 219136]

C:\Documents and Settings\stefania\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-20 17:15:19 962663]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2002-07-09 17:58:26 128000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sound Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S2 AIM;AOL Instant Messanger;"C:\WINDOWS\aim.exe" []
S2 Sound Service;Sound Sservice Driver ;C:\WINDOWS\System32\cfmon.exe []

.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-27 17:58:24 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 19:57:38
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-04-27 20.02.09
ComboFix-quarantined-files.txt 2008-04-27 18:01:57
ComboFix2.txt 2008-04-27 07:26:58
ComboFix3.txt 2008-04-23 16:38:40

10 Directory 6,531,407,872 byte disponibili
13 Directory 6,523,518,976 byte disponibili

4034



Attualmente non ho un ulteriore log di HijackThis, dopo questa scansione di Combofix di oggi pomeriggio-sera.


p.s. sono un po' stanchino dopo questa giornatina dentro (anche nel senso letterale ... ) un pc,
e ho dovuto trattenere la mia amica che voleva connettersi ad Internet ("dopo tutti questi antivirus e con l'aggiornamento che hai messo, sarà a posto, no?")

[chemicalbit]

[bdoriano]

[chemicalbit]

[bdoriano]

Dimenticavo: in teoria dovrebbe potersi riconnettere a internet.
Fagli fare gli aggiornamenti e installare un buon antivirus + firewall + antispyware.

[chemicalbit]

Sì, aspettavo di vedere il nuovo log di hijackThis prima di darle il via (tanto in questi giorni non penso avrà tempo di collegarsi, probabilmente nel weekend)

Le ho appena passato l' SP2 di win XP
(che ora ho installato anche io...)

Come antivirus ha AVG free, che aggiorna quando si connette ad Internet, per cui ce l'ha aggiornato al 20 aprile (è una delle poche cose che era risucita a fare prima di sconnettersi).

Come antispyware:
Spybot S&D 1.4, la vecchia versione (*) : le ho scaricato manualmente gli aggiornamenti e le li ho passati, devo dirle come installarli.
Lavasoft Adaware SE (*) : le ho scaricato manualmente gli aggiornamenti -gli ultimi per quella versione dicembre 2007- e le li ho passati, devo dirle come installarli.
AVG Antipispyware : le ho passato la nuova versione (**)

(*) = appena riesco io ad installare e provare le nuove versioni le passo anche quelle.

(**) = non c'è modo di prelevare dal sito solo gli aggiornemnti, vero?

Quanto al firewall ora ha quello di WinXP SP2 (e prima mi pare avesse quello di WinXP senza SP1 e senza SP2)
Dici che prorpio non basti, almeno per il momento?
Ha già 10.000 programmi in esecuzione all'avvio e dice che c'impiega troppo ad accendersi, e un nuovo firewall "serio" dovrebbe imparare ad usarlo. Se possibile per il momento rimanderei.



p.s. : ora può riabilitare il ripristino configurazione di sistema, vero?

[bdoriano]

Passale pure la versione 1.5.2.20 di Spybot. Io la sto utilizzando già da qualche mese.

Di AVG Antispyware so molto poco, preferisco utilizzare SuperAntiSpyware o SpywareTerminator (per il controllo in tempo reale).

Come firewall sento parlare molto bene di Online Armor Firewall che dovrebbe essere molto semplice da configurare e usare.

La riabilitazione del ripristino la può fare quando siamo sicuri che non ci sono più voci strane. Aspettiamo il prossimo log di hijackthis.