Olimpo Informatico

[sputnik]

cyao a tutti e ben ritrovati dopo un po' di tempo nel quale non ho comunque smesso di seguirvi.
Come da oggetto al presente topic sono stato molto colpito dai ?? che precedono la path e che ho riscontrato nel report ottenuto dalla scansione fatta con SystemScan ver. 3.5.5.
Come già fatto altre volte posto - come indicato - il link per vedere il report in questione.

http://www.freefilehosting.net/download/3j6fj

Chi può darmi una mano a capire se ho qualcosa di poco gradito nel PC ?
Forse l'ottimo Sante62, se si ricorda di me ( e che comunque saluto cordialmente).
Spero di leggere presto qualche info.
Saluti

p.s.: Il processore del mio pc è un Intel Pentium 4 CPU 1.70GHz, 1.0GB di RAM, scheda NVIDIA GeForce2 MX/MX400 con s.o. Windows XP Pro con SP2

[sputnik]

Sperando possa servire posto anche il log della scansione di ComboFix che ho appena terminato....
Sempre in attesa...

ComboFix 08-07-02.5 - Utente Windows 2008-07-03 22.14.22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.561 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Utente Windows\Desktop\Combo-Fix.exe
* Creato nuovo punto di ripristino
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\Quarantine
C:\WINDOWS\start.exe
C:\WINDOWS\Web\default.htt
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((((( Files Creati Da 2008-06-03 al 2008-07-03 )))))))))))))))))))))))))))))))))))
.

2008-07-03 22:20 . 2008-07-03 22:20 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Office Genuine Advantage
2008-07-01 23:05 . 2008-07-01 23:02 130,733 --a------ C:\004382l.jpg
2008-07-01 22:44 . 2008-07-01 22:44 326,061 --a------ C:\logo_CD_foto.jpg
2008-06-27 22:28 . 2008-06-27 22:28 17,408 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\pxark.sys
2008-06-27 22:27 . 2008-06-27 22:27 <DIR> d-------- C:\Programmi\PrevxCSI
2008-06-27 22:27 . 2008-07-03 22:01 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI
2008-06-26 17:48 . 2008-06-26 17:48 31,744 --a------ C:\debugger.doc
2008-06-20 21:46 . 2008-06-20 21:46 <DIR> d-------- C:\Programmi\PDF Image Extraction Wizard 3.0
2008-06-20 20:38 . 2008-06-20 21:47 <DIR> d-------- C:\Programmi\Free PDF to Word Doc Converter
2008-06-20 20:26 . 2008-06-20 20:26 <DIR> d-------- C:\WINDOWS\PrimoPDF4
2008-06-20 20:26 . 2008-06-20 21:57 <DIR> d-------- C:\Programmi\activePDF
2008-06-20 20:26 . 2006-12-11 22:12 176,235 --a------ C:\WINDOWS\SYSTEM32\Primomonnt.dll
2008-06-20 19:36 . 2008-06-20 19:36 <DIR> d-------- C:\Programmi\Foxit Software
2008-06-20 14:49 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\VIRAGTLT.SYS
2008-06-20 14:48 . 2008-06-20 17:35 <DIR> d-------- C:\VEXPLITE
2008-06-16 17:37 . 2008-06-16 17:37 <DIR> d-------- C:\Programmi\Spybot - Search & Destroy
2008-06-15 19:26 . 2008-06-15 19:26 132 --a------ C:\WINDOWS\wininit.ini
2008-06-15 19:22 . 2008-06-15 19:21 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-15 19:22 . 2008-06-15 19:22 2,550 --a------ C:\WINDOWS\unins000.dat
2008-06-14 08:35 . 2008-06-14 08:35 <DIR> d-------- C:\Programmi\Any DWG to Image Converter
2008-06-14 08:35 . 2001-09-27 09:28 260,531 --a------ C:\WINDOWS\imgcvt.dat
2008-06-08 16:32 . 2008-06-08 16:32 2,002,009 --a------ C:\Flash Album Creator 1.58 With Crack.zip
2008-06-05 22:59 . 2008-06-05 22:59 <DIR> d-------- C:\Documents and Settings\Utente Windows\Dati applicazioni\VSO

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 18:43 --------- d-----w C:\Programmi\a-squared Free
2008-06-27 19:53 --------- d-----w C:\Programmi\SUPERAntiSpyware
2008-06-25 20:48 --------- d-----w C:\Programmi\Mgutil
2008-06-20 15:46 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-06-20 14:10 --------- d-----w C:\Programmi\Lavasoft
2008-06-20 14:10 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-06-20 14:10 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft
2008-06-20 12:17 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-06-16 17:55 --------- d-----w C:\Programmi\Configuratore Yourbath
2008-06-15 11:46 --------- d-----w C:\Programmi\FlashCAD_Composer
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 06:35 --------- d-----w C:\Programmi\Common Files
2008-06-07 15:26 --------- d-----w C:\Programmi\File comuni\Real
2008-06-07 11:58 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\GHISLER
2008-06-02 09:54 --------- d-----w C:\Programmi\Multi_Media_Italy
2008-05-25 19:26 --------- d-----w C:\Programmi\ATWinContest
2008-05-24 12:05 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\Lavasoft
2008-05-22 17:58 --------- d-----w C:\Programmi\IDM Computer Solutions
2008-05-22 17:58 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\IDMComp
2008-05-16 04:49 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\U3
2008-05-14 18:24 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\AdobeUM
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-02-23 09:02 30 ----a-w C:\Programmi\Exiferupdate.ini
2008-01-22 20:53 2,523 ----a-w C:\Documents and Settings\Utente Windows\scxdtqvo.exe
2007-12-30 13:32 23,984 ----a-w C:\Documents and Settings\Utente Windows\Dati applicazioni\GDIPFONTCACHEV1.DAT
2007-10-23 21:26 20 ---h--w C:\Documents and Settings\All Users\Dati applicazioni\PKP_DLea.DAT
2007-01-25 02:52 65,536 ----a-w C:\Programmi\File comuni\NMSAccessU.exe
2006-12-28 17:57 123 ----a-w C:\Documents and Settings\Utente Windows\Dati applicazioni\fusioncache.dat
2006-12-10 21:25 271 --sh--w C:\Programmi\desktop.ini
2006-12-10 21:25 23,476 ---h--w C:\Programmi\folder.htt
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-16 11:20 376912]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:39 15360]
"updateMgr"="C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"AWMON"="C:\PROGRA~1\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" [2005-05-25 12:12 517632]
"SpybotSD TeaTimer"="C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"SUPERAntiSpyware"="C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-27 21:53 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2007-09-18 23:06 949376]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:50 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:39 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCpl"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"DisableLockWorkstation"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuPinnedList"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)
"NoChangeKeyboardNavigationIndicators"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-06-27 21:53 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TryAndDecideService"=2 (0x2)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"a2free"=2 (0x2)
"NVSvc"=2 (0x2)
"NMSAccessU"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"a-squared"="C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programmi\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"C:\\Programmi\\Microsoft ActiveSync\\WCESMGR.EXE"=
"C:\\Programmi\\TC UP\\PLUGINS\\Media\\uTorrent\\utorrent.exe"=
"C:\\Programmi\\TC UP\\TOTALCMD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\deepinvent\\MailStore Home\\MailStoreDesktopServices.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-06-27 22:28]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-02-06 23:56]
R1 VD_FileDisk;VD_FileDisk;C:\WINDOWS\system32\drivers\VD_FileDisk.sys [2006-01-13 15:00]
R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programmi\a-squared Anti-Dialer\a2service.exe" [2008-02-10 23:05]
R2 CSIScanner;CSIScanner;"C:\Programmi\PrevxCSI\prevxcsi.exe" /service []
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-04-23 14:02]
S4 NMSAccessU;NMSAccessU;C:\Programmi\File comuni\NMSAccessU.exe [2007-01-25 04:52]
S4 TryAndDecideService;Acronis Try And Decide Service;"C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe" [2007-09-14 05:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84b28234-d40b-11dc-9af8-0017c2022f0f}]
\Shell\AutoRun\command - G:\winPenPack.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{908632c0-37f2-11dd-9b4d-0017c2022f0f}]
\Shell\AutoRun\command - G:\wdsync.exe

.
Contenuto della cartella 'Scheduled Tasks'
"2008-07-03 16:19:31 C:\WINDOWS\Tasks\OGADaily.job"
- C:\WINDOWS\system32\OGAVerify.exe
"2008-07-03 20:21:11 C:\WINDOWS\Tasks\OGALogon.job"
- C:\WINDOWS\system32\OGAVerify.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 22:20:19
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

C:\WINDOWS\explorer.exe [1780] 0x8642DB50

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programmi\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\SYSTEM32\wdfmgr.exe
C:\WINDOWS\SYSTEM32\WGATray.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
.
**************************************************************************
.
Ora fine scansione: 2008-07-03 22:23:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 20:23:34

15 Directory 12,879,298,560 byte disponibili
18 Directory 12,885,467,136 byte disponibili

188 --- E O F --- 2008-07-03 16:20:31

[bdoriano]

ComboFix ha eliminato alcune voci ritenute pericolose.

Intanto che aspetti l'analisi del log di SystemScan, per sicurezza:

• Disabilita il tuo antivirus
  
• Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato HTML), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.

Per rispondere alla tua domanda: \??\C:\etc... è un indirizzamento assoluto del disco e del suo contenuto (a livello di Kernel del sistema operativo). Nulla di preoccupante.

[sputnik]

ciao bdoriano e grazie per aver risposto alla mia richiesta di aiuto...
Non sono nuovo a queste procedure e so quanto sono lunghe per cui spero mi perdonerai se mi prendo un attimo per svolgere il "compito" che mi hai assegnato ...
Sarà mia premura comunicarti la fine delle operazioni...
Stanotte, se riesco, faccio girare l'antivirus on-line
A presto
ciaooooo

[sputnik]

ciao
ti posto come richiesto i link che ho ottenuto e aspetto tue info...


bitdefender_log.html

kaspersky.html

A presto
ciaooooo

[bdoriano]

BitDefender ha eliminato un virus e SystemScan (falso positivo).
Kaspersky rileva un virus già "disattivato" nella quarantena di NOD32 e nel file D:\Mio_168\TomTom Navigator 5.21 + mappa italia 6.32 + autovelox e menu personalizzati ( COMPLETA DI GUIDA PER ISTALLAZIONE) testato su hp 1710, medio, mio 168.z che ti consiglio di cancellare.
Per il resto, non mi sembra ci siano altri pericoli.

Fai queste pulizie generali del sistema:

1. Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
   
2. Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
   
3. Deframmentazione del disco

[sputnik]

ciao bdoriano,
ho eseguito tutto quanto da te consigliatomi ed ora spero proprio di essere a posto con questo vecchio pc !!!
Ora non mi resta che fare un bel file immagine ( io uso True Image ) per eventuali "momenti difficili" e ringraziarti per la pazienza e per i consigli datimi !
Alle prossime e... ancora grazie !
ciaooooooooo