Olimpo Informatico

[Legatoalfuturo]

Ciao Bdoriano

ieri sera devo aver combinato qualche grossa ca..ata!!

Dopo aver letto i tuoi consigli sui programmi per ripulire il registro di sistema, sono andato su Emule e ho scaricato due file zip con versioni complete di Registry Healer craccate.
Almeno così credevo!!
Ne ho installato uno. Poi, Dopo aver fatto un pò di pulito con RegCleaner, ho lanciato Wise Registry Cleaner e a metà scansione si è riavviato il PC senza motivo. Alla riapertura NOD32 non viene più caricato e se lo lancio da Start>Programmi mi appare una finestra stile quelle di errore di Windows ma col seguente titolo "C:\Programmi\ESET\nod32kui.exe" ed il messaggio di errore recita: "C:\Programmi\ESET\nod32kui.exe non è un'applicazione di Win32 valida".
Se apro Internet Explorer, non mi apre la pagina iniziale e si blocca....e...come se non bastasse ho provato a fare una scansione con HiJackThis ma quando termina e sta per aprire il Notepad per visualizzare il log, invece, il programma si chiude ed il log non viene generato.
Avevo navigato in un sito che proponeva crack vari prima ma non credevo di raccogliere schifezze così gravi, soprattutto con alle spalle NOD32, SpywareTerminator e Spybot S&D.

Sono fuori di me Bdoriano!!!

Perdipiù non ho più il CD di Windows della mia macchina. Ne ho uno, con la stessa release che ho preso da un amico ma non ho il numero di serie.

CAVOLO!!!!

[bdoriano]

Ahiahiahiahi....

A parte l'ovvia ramanzina di non utilizzare crack et similia, prima di installare software scaricato da fonti dubbie, utilizza uno di questi controlli online:

VirSCAN-- controllo complessivo con 36 antivirus: A-Squared, AhnLab V3, AntiVir, Arcabit, Avast, AVG, BitDefender, CA (VET), ClamAV, Comodo, CP Secure, Dr.Web, Ewido, F-Prot, F-Secure, Fortinet, ViRobot, Ikarus, JiangMin, Kaspersky, KingSoft, McAfee, Microsoft Onecare, mks_vir, Panda, Trend Micro, Prevx, Quick Heal, Rising, Sophos, Symantec, nProtect, The Hacker, VBA32, VirusBuster
VirusTotal-- controllo complessivo con 32 antivirus: AhnLab-V3, Authentium, Avast, AVG, Avira, BitDefender, Cat-QuickHeal, ClamAV, DrWeb, eSafe, eTrust-Vet, Ewido, FileAdvisor, Fortinet, F-Prot, F-Secure, Ikarus, Kaspersky, McAfee, Microsoft, NOD32v2, Norman, Panda, Prevx1, Rising, Sophos, Sunbelt, Symantec, The Hacker, VBA32, VirusBuster, Webwasher-Gateway. O scaricare l'utility che permette di inviare sample a VirusTotal direttamente dal contest menu.
Jotti Virusscan-- controllo complessivo con 20 antivirus: A-Squared, AntiVir, ArcaVir, Avast, AVG, BitDefender, ClamAV, CPsecure, Dr.Web, F-Prot Antivirus, F-Secure, Fortinet, Kaspersky Anti-Virus, NOD32, Norman Virus Control, Panda, Rising, Sophos Antivirus, VirusBuster, VBA32
Virus.org-- controllo complessivo con 18 antivirus: AntiVir, ArcaVir, avast!, AVG, BitDefender, CAT QuickHeal, ClamAV, Dr. Web, F-PROT, F-Secure, McAfee, NOD32, Norman, Panda, Sophos, Trend Micro, VBA32, VirusBuster
Kaspersky FileScanner
Dr.Web FileScanner, oppure installare il plugin per il vostro browser-- controllo link/file sospetti.
Avast! FileScanner
Fortinet FileScanner

Adesso, vediamo di risolvere anche questa situazione.
Presumo che ti sia beccato il Bagle...

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui queste istruzioni per EliBaglA.
  
• Segui le istruzioni di questo topic per postare il log di combofix.

[Legatoalfuturo]

Bdoriano,

Ho cliccato sia su ATF cleaner sia su CCCleaner ma non succede niente. Come se non avessi cliccato.
Ho provato anche ad aprire Combofix ma mi viene l'errore che dice che non è un'applicazione di Win32 valida.

[bdoriano]

Elibagla?

Segui le istruzioni di questo messaggio per verificare il file di registro.

[Legatoalfuturo]

ecco qua il link al log di SystemScan

report128.txt

e pe quanto riguarda la verifica nel registro, le due chiavi explorer.exe ed iexplore.exe non esistono nel percorso indicato.

Il valore che ho trovato di Userinit è: C:\WINDOWS\system32\userinit.exe

[bdoriano]

• Chiudi SpywareTerminator
  
• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  drivers to unload: srosa files to delete: C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\drivers\srosa.sys folders to delete: c:\WINDOWS\system32\drivers\down registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

  
  e clicca Proceed with removal
  
  Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.

[Legatoalfuturo]

Mi dalo stesso problema di ieri

Mi dice che devo mettere uno script valido. Eppure non ci sono spazi nè all'inizio nè alla fine, ed ho disabilitato Spyware Terminator.

Sto veramente perdendo la pazienza con stò computer del diavolo!

[bdoriano]

MP

[Legatoalfuturo]

Grazie infinite doriano

di seguito il log di Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bjmetohm

*******************

Script file located at: \??\C:\Documents and Settings\dijofbvw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver srosa unloaded successfully.
File C:\WINDOWS\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
Folder c:\WINDOWS\system32\drivers\down deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa deleted successfully.

Could not set up C:\Documents and Settings\Utente Principale\Desktop\sys9265.exe to run on reboot
Run on reboot of program C:\Documents and Settings\Utente Principale\Desktop\sys9265.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[bdoriano]

Ok, fai le scansioni con EliBagla e combofix.

[Legatoalfuturo]

Ops

mi sono scordato il log di HijackThis.

Torno subito

[Legatoalfuturo]

Niente da fare.

Non fa eseguire il programma e se aspetto a cliccare su qualsiasi opzione, chiude la finestra in automatico

[bdoriano]

Anche con EliBagla e combofix?

[Legatoalfuturo]

Elibagla non l'ho ancora scaricto, lo faccio adesso se pensi che possa funzionare.
AncheSe cerco di aprire combofix mi si apre la finestra col messaggio di errore che non è un'applicazione Win32 valida.

[bdoriano]

prova con elibagla.

[Legatoalfuturo]

Niente da fare nemmeno con Elibagla

[bdoriano]

mandami i soliti codici via mp

[Legatoalfuturo]

Ciao Bdoriano

ecco i log

ComboFix 08-03-27.5 - Utente Principale 2008-03-29 16:31:09.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.176 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Utente Principale\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\SFED0B0AE.tmp
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\114062.exe
C:\WINDOWS\system32\drivers\down\117796.exe
C:\WINDOWS\system32\drivers\down\124875.exe
C:\WINDOWS\system32\drivers\down\129578.exe
C:\WINDOWS\system32\drivers\down\134078.exe
C:\WINDOWS\system32\drivers\down\138765.exe
C:\WINDOWS\system32\drivers\down\154343.exe
C:\WINDOWS\system32\drivers\down\162046.exe
C:\WINDOWS\system32\drivers\down\163968.exe
C:\WINDOWS\system32\drivers\down\164390.exe
C:\WINDOWS\system32\drivers\down\170437.exe
C:\WINDOWS\system32\drivers\down\180515.exe
C:\WINDOWS\system32\drivers\down\209156.exe
C:\WINDOWS\system32\drivers\down\213531.exe
C:\WINDOWS\system32\drivers\down\215093.exe
C:\WINDOWS\system32\drivers\down\70500.exe
C:\WINDOWS\system32\drivers\down\72203.exe
C:\WINDOWS\system32\drivers\down\77328.exe
C:\WINDOWS\system32\drivers\down\79656.exe
C:\WINDOWS\system32\drivers\down\90968.exe
c:\windows\system32\netncfjg.exe
.
---- Previous Run -------
.
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Tasks\abppyntf.job
C:\WINDOWS\Tasks\afd.job
C:\WINDOWS\Tasks\afxqg.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


((((((((((((((((((((((((( Files Creati Da 2008-02-28 al 2008-03-29 )))))))))))))))))))))))))))))))))))
.

2008-03-29 16:34 . 2008-03-29 16:34 <DIR> d-------- C:\WINDOWS\system32\drivers\down
2008-03-29 16:14 . 2008-03-29 16:14 250 --a------ C:\WINDOWS\gmer.ini
2008-03-29 16:09 . 2008-03-29 16:09 <DIR> d-------- C:\gmer
2008-03-29 16:08 . 2008-01-23 13:28 695,350 --a------ C:\gmer.zip
2008-03-29 15:55 . 2008-03-29 15:55 <DIR> d-------- C:\Muestras
2008-03-29 15:23 . 2008-03-29 15:23 <DIR> d-------- C:\avenger_
2008-03-29 15:20 . 2008-03-29 15:20 <DIR> d-------- C:\ProcessExplorer
2008-03-28 23:14 . 2008-03-28 23:14 <DIR> d-------- C:\RegistryHealer
2008-03-28 23:13 . 2008-03-28 23:13 <DIR> d-------- C:\Programmi\Eusing Free Registry Cleaner
2008-03-28 23:12 . 2008-03-28 23:12 <DIR> d-------- C:\RegCleaner
2008-03-28 23:12 . 2008-03-28 23:12 <DIR> d-------- C:\Programmi\Wise Registry Cleaner 3
2008-03-28 21:44 . 2008-03-29 15:43 <DIR> d-------- C:\HJT
2008-03-28 21:18 . 2008-03-28 21:18 <DIR> d-------- C:\Documents and Settings\Utente Principale\temp
2008-03-28 21:18 . 2008-03-28 21:18 <DIR> d-------- C:\Documents and Settings\Utente Principale\Dati applicazioni\TeamViewer
2008-03-28 20:41 . 2008-03-28 20:41 <DIR> d-------- C:\Programmi\Crawler
2008-03-28 20:40 . 2008-03-29 12:36 <DIR> d-------- C:\Programmi\Spyware Terminator
2008-03-28 20:40 . 2008-03-29 12:24 <DIR> d-------- C:\Documents and Settings\Utente Principale\Dati applicazioni\Spyware Terminator
2008-03-28 20:40 . 2008-03-29 12:36 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator
2008-03-28 20:40 . 2008-03-28 20:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-03-27 23:35 . 2008-03-29 13:53 <DIR> d-------- C:\suspectfile
2008-03-27 21:56 . 2008-03-27 21:56 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-27 21:56 . 2008-03-27 21:56 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab
2008-03-27 20:53 . 2008-03-27 21:48 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-26 23:03 . 2008-03-26 23:03 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Simply Super Software
2008-03-26 22:32 . 2008-03-28 20:37 <DIR> d-------- C:\Programmi\Trojan Remover
2008-03-26 22:32 . 2006-05-25 14:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-03-26 22:32 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-03-26 22:32 . 2005-08-26 00:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-03-26 22:32 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-03-26 22:32 . 2006-06-19 12:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-03-24 18:36 . 2008-03-24 18:36 <DIR> d-------- C:\Programmi\CCleaner
2008-03-24 14:20 . 2008-03-24 14:20 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Elaborate Bytes
2008-03-24 14:15 . 2008-03-28 20:38 <DIR> d-------- C:\Programmi\Elaborate Bytes
2008-03-22 12:46 . 2008-03-29 13:20 <DIR> d-a------ C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-03-22 12:45 . 2008-03-22 12:51 <DIR> d-------- C:\Programmi\Spyware Doctor
2008-03-22 12:45 . 2008-03-22 12:45 <DIR> d-------- C:\Documents and Settings\Utente Principale\Dati applicazioni\PC Tools
2008-03-22 12:45 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-22 12:45 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-22 12:45 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-22 12:45 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-03-15 16:40 . 2008-03-15 16:40 <DIR> d---s---- C:\WINDOWS\system32\%USERPROFILE%
2008-03-14 23:33 . 2008-03-14 23:33 <DIR> d-------- C:\Documents and Settings\Utente Principale\Dati applicazioni\Grisoft
2008-03-14 23:32 . 2008-03-14 23:32 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Grisoft
2008-03-14 23:25 . 2008-03-14 23:25 <DIR> d-------- C:\Programmi\File comuni\PC Tools
2008-03-14 23:25 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-03-09 12:39 . 2007-06-07 21:38 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-03-09 12:39 . 2007-06-07 21:38 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-03-09 12:39 . 2007-06-07 21:38 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-03-09 12:39 . 2007-06-07 19:44 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-03-09 12:39 . 2007-06-07 21:38 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-03-09 12:39 . 2008-03-29 16:32 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-03-09 12:39 . 2008-03-26 23:04 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-03-09 12:39 . 2008-03-26 23:03 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 15:35 --------- d-----w C:\Documents and Settings\Utente Principale\Dati applicazioni\Orbit
2008-03-29 09:45 --------- d-----w C:\Programmi\ESET
2008-03-28 22:09 --------- d-----w C:\Programmi\eMule
2008-03-26 21:27 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-03-24 08:27 --------- d-----w C:\Programmi\Orbitdownloader
2008-03-12 19:48 --------- d-----w C:\Programmi\Java
2008-02-28 20:54 --------- d-----w C:\Programmi\Windows Live
2008-02-28 20:52 --------- d-----w C:\Programmi\Microsoft SQL Server Compact Edition
2008-02-28 20:41 --------- dcsh--w C:\Programmi\File comuni\WindowsLiveInstaller
2008-02-28 20:41 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\WLInstaller
2008-02-24 08:29 --------- d-----w C:\Programmi\ieHTTPHeaders
2008-02-23 08:12 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft
2008-02-16 10:39 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-02-16 10:39 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-02-12 19:58 --------- d-----w C:\Documents and Settings\Utente Principale\Dati applicazioni\ICQ
2008-02-12 19:45 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-02-07 21:12 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys
2008-02-07 21:12 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys
2008-02-07 21:07 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avg7
2008-02-07 20:59 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-02-07 20:46 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-02-03 12:35 --------- d-----w C:\Programmi\Creative
2008-01-28 19:48 --------- d-----w C:\Documents and Settings\Utente Principale\Dati applicazioni\AVG7
2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
.

------- Sigcheck -------

2006-04-20 13:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-30 21:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2007-12-30 11:36 359808 de891ad282e856acfd40990094a63b6f C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-02-16 11:39 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-02-16 11:39 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((( snapshot@2008-03-24_18.46.16,12 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-10-14 08:35:28 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB873339\update\update.exe
+ 2008-03-29 11:30:57 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB873339\update\update.exe
- 2004-10-14 09:35:28 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB885835\update\update.exe
+ 2008-03-29 11:30:58 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB885835\update\update.exe
- 2004-10-14 09:35:28 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB885836\update\update.exe
+ 2008-03-29 11:30:58 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB885836\update\update.exe
- 2004-10-14 18:35:26 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB886185\update\update.exe
+ 2008-03-29 11:30:59 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB886185\update\update.exe
- 2004-10-14 09:35:28 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB887472\update\update.exe
+ 2008-03-29 11:30:59 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB887472\update\update.exe
- 2004-11-30 12:47:06 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB888302\update\update.exe
+ 2008-03-29 11:30:59 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB888302\update\update.exe
- 2004-11-30 12:47:06 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB891781\update\update.exe
+ 2008-03-29 11:31:00 662,528 ----a-w C:\WINDOWS\$hf_mig$\KB891781\update\update.exe
+ 2008-03-27 19:53:50 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll
+ 2008-03-27 19:53:50 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll
+ 2008-03-27 19:53:50 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll
+ 2008-03-27 19:53:52 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
+ 2008-03-27 19:53:53 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll
+ 2008-03-27 19:53:51 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-03-29 15:14:06 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-01-18 19:31:10 757,760 ----a-w C:\WINDOWS\gmer.exe
- 2004-08-30 20:00:00 14,848 -c--a-w C:\WINDOWS\system32\dllcache\register.exe
+ 2008-03-29 11:34:28 14,848 -c--a-w C:\WINDOWS\system32\dllcache\register.exe
- 2004-08-30 20:00:00 70,144 -c--a-w C:\WINDOWS\system32\dllcache\sysinfo.exe
+ 2008-03-29 11:34:32 70,144 -c--a-w C:\WINDOWS\system32\dllcache\sysinfo.exe
+ 2008-03-29 15:14:06 85,713 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
+ 2005-05-24 11:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-08-29 14:47:20 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-08-29 14:49:54 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 49,152 2004-02-18 17:55:28 C:\Programmi\Hewlett-Packard\HP Software Update\bak\HPWuSchd2.exe

----a-w 241,664 2003-12-22 06:38:42 C:\Programmi\HP\hpcoretech\bak\hpcmpmgr.exe

----a-w 324 2007-07-17 19:58:46 C:\Programmi\HP\hpcoretech\bak\data\EvntData-338711970.xml

----a-w 3,577,512 2006-12-12 16:08:44 C:\Programmi\TomTom HOME\bak\TomTomHOME.exe

----a-w 15,360 2004-08-30 20:00:00 C:\WINDOWS\system32\bak\ctfmon.exe
----a-w 15,360 2004-08-30 20:00:00 C:\WINDOWS\system32\ctfmon.exe

----a-w 172,032 2004-03-04 14:46:24 C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb10.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac}]
2007-10-17 13:53 57384 --a------ C:\Programmi\Windows Live\Family Safety\fssbho.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2006-07-03 10:06 659456]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2006-08-30 14:05 139264]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-30 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 12:47 57344 C:\WINDOWS\ALCXMNTR.EXE]
"NeroFilterCheck"="C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2007-08-15 19:15 271672]
"PCSuiteTrayApplication"="C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 14:10 271360]
"StartCCC"="C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"AVFX Engine"="C:\Programmi\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 19:44 20480]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-03-29 15:25 949376]
"fssui"="C:\Programmi\Windows Live\Family Safety\fssui.exe" [2007-10-17 13:53 243240]
"SpywareTerminator"="C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-28 20:40 2957824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-30 21:00 15360]
"Nokia.PCSync"="C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 09:17 1241088]

C:\Documents and Settings\Utente Principale\Menu Avvio\Programmi\Esecuzione automatica\
Programma di avvio BounceBack Launcher.lnk - C:\Programmi\CMS Products\BounceBack Express\BBLauncher.exe [2007-12-03 19:46:29 93888]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Orbit.lnk - C:\Programmi\Orbitdownloader\orbitdm.exe [2007-12-02 10:18:10 1678536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\iTunes\\iTunes.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=
"C:\\Programmi\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programmi\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\Kyodai Mahjongg 2006\\kmj.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-28 20:40]
R2 fssfltr;FssFltr;C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 13:53]
R2 fsssvc;Windows Live OneCare Family Safety;"C:\Programmi\Windows Live\Family Safety\fsssvc.exe" [2007-10-17 13:53]
S3 gAGP440p;gAGP440p;C:\DOCUME~1\UTENTE~1\IMPOST~1\Temp\gAGP440p.sys []

.
Contenuto della cartella 'Scheduled Tasks'
"2008-03-26 21:20:46 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmi\Apple Software Update\SoftwareUpdate.exe
"2008-03-29 15:04:00 C:\WINDOWS\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job"
- C:\Programmi\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 16:35:02
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programmi\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Orbitdownloader\orbitnet.exe
C:\Programmi\CMS Products\BounceBack Express\BBReminder.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\iPod\bin\iPodService.exe
.
**************************************************************************
.
Ora fine scansione: 2008-03-29 16:37:28 - machine was rebooted [Utente Principale]
ComboFix-quarantined-files.txt 2008-03-29 15:37:23
35 Directory 10,758,721,536 byte disponibili
37 Directory 10,672,660,480 byte disponibili
.
2008-01-09 18:08:42 --- E O F ---

















Sat Mar 29 15:55:59 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Sat Mar 29 15:56:09 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Mar 29 16:16:37 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Mar 29 16:16:42 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\85125.EXE --> Eliminado Bagle

Nº Total de Directorios: 6873
Nº Total de Ficheros: 54662
Nº de Ficheros Analizados: 11118
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Sat Mar 29 16:29:07 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Drivers\HLDRRR.EXE.VIR --> Eliminado

[bdoriano]

Ok, adesso rifai le pulizie generali (compiti per le vacanze ):

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Scarica Norman Malware Cleaner e NOD32 Scanner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia NOD32 e fagli fare la scansione completa.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-03-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Disabilita il tuo antivirus
  Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

Mi raccomando, non installare programmi di provenienza dubbia!

[Legatoalfuturo]

Ciao

ecco il link del log di Norman Malware

NFix_2008-03-29_17-11-16.log

Non ho potuto fare le scansioni con Bitdefender e Kaspersky Online Scanner perchè entrambi richiedono NECESSARIAMENTE Internet Explorer (maledetto quel mafioso bastardo di Bill Gates) ed Internet Explorer non riesco ad utilizzaro perchè mi si blocca appena lo avvio.

Come posso procedere ora? sono piuttosto sconsolato