processi che risorgono ad ogni avvio

[miclino]

Salve,
sono nuovo in questo forum.
Prima di scrivervi ho provato in tutti i modi ad eliminare i processi indicati come pericolosi dall'analisi on line fatta sul vostro sito.
Ho seguito le varie discussioni precedenti prima di disturbarvi, ma non riesco a risolvere.

non riesco ad eliminare questi due processi, anche se li ho già precedentementi fixati con il programma HijackThis:

ssdpsr.exe
\ntos.exe

allego il file log fatto analizzare in automatico.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.26.31, on 03/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\ssdpsr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programmi\File comuni\Adobe\Web\AOM.exe
C:\programmi da installare\spyware+firewall\spyware\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{601297AE-D6D2-43C7-B468-3F14D99F5E59}: NameServer = 85.255.114.91,85.255.112.114
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O20 - Winlogon Notify: ivn4reg - C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksRemoteRegistry (TrkWksRemoteRegistry) - Unknown owner - C:\WINDOWS\System32\accessf.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5866 bytes


cosa posso fare? grazie.

[Luke57]

Ciao, scarica Atfcleaner
http://www.atribune.org/ccount/click.php?id=1
e mettilo sul desktop

chiudi la connessione con Internet, chiudi tutti i browser e le applicazioni aperte

Dalla modalità "normale" : apri HJT e premi "config", "Misc tools" e "Open Process Manager"
cerca il processo:

ssdpsr.exe

selezionalo e clicca su "kill process"

torna al menù principale con back, premi scan
cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,
04 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksRemoteRegistry (TrkWksRemoteRegistry) - Unknown owner - C:\WINDOWS\System32\accessf.exe
premi fix checked

Dal meni start>esegui lanci questi duecomandi, uno di seguito all'altro:
sc stop TrkWksRemoteRegistry (lo digiti nello spazio)>OK
sc delete TrkWksRemoteRegistry (lo digiti nello spazio)>OK

Riavvia in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio

Avvia risorse del computer e imposta la visualizzazione completa dei files:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok

10.cerca e cancella i seguenti file:
C:\WINDOWS\System32\accessf.exe
C:\WINDOWS\System32\ntos.exe
C:\WINDOWS\system32\ssdpsr.exe

vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu

Avvia ATF Cleaner.exe con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

riparti in modalità normale

fai girare HJT e posta il log

[miclino]

grazie per la collaborazione.
posto il log come suggerito.
Cosa sono secondo voi i server indicati dalle chiavi 017?
Grazie ancora.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.19.13, on 07/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\programmi da installare\spyware+firewall\spyware\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{601297AE-D6D2-43C7-B468-3F14D99F5E59}: NameServer = 85.255.114.91,85.255.112.114
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.91 85.255.112.114
O20 - Winlogon Notify: ivn4reg - C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SSDP Discovery Service (SSDPSR) - Unknown owner - C:\WINDOWS\system32\ssdpsr.exe (file missing)
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksRemoteRegistry (TrkWksRemoteRegistry) - Unknown owner - C:\WINDOWS\System32\accessf.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5543 bytes

[miclino]

come mai non ho avuto risposte al mio post?
ho infranto qualche regola comportamentale?

purtroppo ho ancora problemi con il PC in quanto all'accensione parte la richiesta di collegamento ad internet senza motivo apparente.
Credo non sia riuscito ad eliminare qualche processo fastidioso.

grazie per l'attenzione.

[SkunkWorks 68]

Vabbè che Luke è un mago...ma hai notato che sei ancora al SP 1 di XP?
Cosa aspetti ad aggiornare(sei indietro di 2 anni e più,cosa pretendi)?
Anche si riuscisse a ripulire il PC,dopo poco ti reinfetteresti subito-senza aggiornamenti,scusa se sono franco...
Ciao

[Luke57]

come mai non ho avuto risposte al mio post?
ho infranto qualche regola comportamentale?

purtroppo ho ancora problemi con il PC in quanto all'accensione parte la richiesta di collegamento ad internet senza motivo apparente.
Credo non sia riuscito ad eliminare qualche processo fastidioso.

grazie per l'attenzione.

Ciao, Scarica il file - combofix.exe da qui http://www.techsupportforum.com/sect...s/ComboFix.exe
o da qui
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
SALVALO SU DESKTOP
Doppio click su combofix.exe e segui le istruzioni a video (non fare altro durante la scansione)
Quando avrà finito, creerà un file di log in C:
Posta qui il log C:\combofix.txt .
Tieni presente che durante la scansione verranno creati alcuni file sul desktop che poi spariranno automaticamente.
Durante la scansione spariranno tutte le icone del desktop
Durante la scansione il firewall potrebbe avvisarti che verranno rimossi alcuni driver (in tal caso acconsenti)

[miclino]

ho esegito il tutto come indicato.
Prima di postare il log volevo informarti che ad ogni accesso ad internet tramite google, vengo continuamente reindirizzato ad altri siti tipo "monstermarket": cosa posso fare?

Grazie.

ComboFix 08-01-18.5 - mm 2008-01-19 12.52.10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1040.18.209 [GMT 1:00]
Eseguito da: C:\Documents and Settings\mm\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programmi\Helper
C:\Programmi\Helper\superfindout.dll
C:\WINDOWS\system32\kdewc.exe
C:\WINDOWS\system32\lr.exe
C:\WINDOWS\system32\msnmanegrs.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\Temp\1.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SYMAVC32
-------\symavc32
-------\xpdx


((((((((((((((((((((((((( Files Creati Da 2007-12-19 al 2008-01-19 )))))))))))))))))))))))))))))))))))
.

2008-01-19 12:49 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-01-15 19:04 . 2007-11-07 20:24 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-01-15 19:04 . 2007-11-07 20:15 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-01-14 12:17 . 2002-08-29 01:27 33,792 --a------ C:\WINDOWS\system32\drivers\disk.sys
2008-01-14 12:17 . 2002-08-29 01:27 33,792 --a--c--- C:\WINDOWS\system32\dllcache\disk.sys
2008-01-11 19:45 . 2008-01-11 19:45 <DIR> d-------- C:\Programmi\ahead
2008-01-11 19:44 . 2008-01-11 19:44 <DIR> d-------- C:\Programmi\File comuni\InstallShield

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-18 17:39 --------- d-----w C:\Programmi\Google
2007-12-09 15:47 696,320 ----a-w C:\WINDOWS\system32\Srb0ty.exe
2007-12-09 11:55 --------- d-----w C:\Programmi\File comuni\Adobe
2007-12-09 11:54 --------- d-----w C:\Documents and Settings\mm\Dati applicazioni\InterTrust
2007-12-09 10:00 402,944 ----a-w C:\WINDOWS\system32\mo.exe
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-26 20:12 1,256,118 ----a-w C:\Documents and Settings\mm\sdikfog.exe
2007-11-25 17:50 48,776 ----a-w C:\Documents and Settings\mm\Dati applicazioni\GDIPFONTCACHEV1.DAT
2007-11-23 18:32 --------- d-----w C:\Programmi\Lexmark X1100 Series
2007-11-21 08:24 16,384 ----a-w C:\WINDOWS\system32\mkdate.exe
2007-11-07 19:29 558,142 ----a-w C:\WINDOWS\java\Packages\bbb5fbd7.zip
2007-11-07 19:29 155,995 ----a-w C:\WINDOWS\java\Packages\hjrbnhff.zip
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-09 12:51 13312]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-29 02:55 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Lexmark X1100 Series"="C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 11:01 57344]
"DSLSTATEXE"="C:\Program Files\GlobespanVirata\Adsl\dslstat.exe" [2003-06-10 07:54 299008]
"DSLAGENTEXE"="C:\Program Files\GlobespanVirata\Adsl\dslagent.exe" [2003-08-19 05:47 16384]
"Zone Labs Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 10:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-09 12:51 13312]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Acrobat Assistant.lnk - C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-12-09 12:55:56]
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office10\OSA.EXE [2003-02-21 17:00:00]
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - C:\Programmi\File comuni\Autodesk Shared\acstart16.exe [2005-03-05 16:18:22]
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2007-11-20 19:43:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ivn4reg]
C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll 2007-11-29 02:52 14050 C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

S2 SSDPSR;SSDP Discovery Service;"C:\WINDOWS\system32\ssdpsr.exe" []
S2 TrkWksRemoteRegistry;Manutenzione collegamenti distribuiti client TrkWksRemoteRegistry;C:\WINDOWS\System32\accessf.exe srv []
S4 MSN RAV;MSN RAV;"C:\WINDOWS\system\msnrav.exe" [2007-11-28 20:03]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 13:02:39
Windows 5.1.2600 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll
.
Ora fine scansione: 2008-01-19 13:04:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-19 12:04:05

[Luke57]

Ciao, copia il codice seguente:

file::
C:\WINDOWS\system32\mo.exe
C:\WINDOWS\system32\Srb0ty.exe
C:\Documents and Settings\mm\sdikfog.exe
C:\WINDOWS\system32\mkdate.exe
C:\Documents and Settings\All Users\Documenti\Settings\ivn4.dll

registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ivn4reg]


apri un file di testo e incollaci il codice (salva il file creato obbligatoriamente come CFScript.txt).
Trascinalo con il puntatore del mouse sull'icona di combofix e attendi una nuova scansione del programma con eventuale riavvio. Posta il nuvo report creato.