Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

aiuto: finestre strane

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

aiuto: finestre strane

Postdi fofo69 » 27/07/10 08:16

Ciao a tutti. Ho postato qualche giorno fa il mio hijackthis, ma sembra non risulti niente...
Eppure giornalmente con Malwarebytes e Trojan remover rilevo spyware.
inoltre, da un paio di giorni all'avvio mi appare questa finestra:
Immagine

io la chiudo con il bottone rosso (evito di dare OK)
e mi compare questa seconda finestrella:
Immagine

questo è il mio "avvio"
Immagine

Vi prego sapete aiutarmi? Perchè quel "timer is 10" mi sa tanto di conto alla rovescia.
grazie mille.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Sponsor
 

Re: aiuto: finestre strane

Postdi Riverside » 27/07/10 08:56

Ciao, riallega un nuovo log di Hijackthis, per favore.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: aiuto: finestre strane

Postdi fofo69 » 27/07/10 10:28

ciao Riverside
grazie per la risposta. questo il log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.26.05, on 27/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HP\HP UT\bin\hppusg.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Trojan Remover\Trjscan.exe
C:\WINDOWS\TEMP\v1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DNA\btdna.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroDist.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programmi\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programmi\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programmi\HP\HP UT\bin\hppusg.exe" "C:\Programmi\HP\HP UT\"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MbWzdFPAP-EXL600] C:\WINDOWS\system32\FPAP-EXL600\PdtGuide.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [] C:\WINDOWS\TEMP\v1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} (BLZPlayerAxCtrl Class) - http://visualizzamms.net.vodafone.it/mm ... tiveXs.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

--
End of file - 11453 bytes



spero mi saprai aiutare.
ps. Visto che sei cosi gentile, poi vorrei esporti un altro problema.
ma, come si dice, una cosa alla volta.
Stefano.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi Riverside » 27/07/10 10:48

Andiamo bene :roll: ..................... procedi in questo modo, per ora:

rilancia Hijackthis e:
spunta la casellina fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
● chiudi tutte le applicazioni aperte
● chiudi tutte le pagine del browser aperte
● in Hijkackthis fixa le voci cliccando su Fixchecked

Queste le voci da fixare:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKLM\..\Run: [] C:\WINDOWS\TEMP\v1.exe

Poi:

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Al termine riavvia il sistema ed esegui:

1) una scansione completa con Avira (dopo averlo aggiornato); al termine della scansione verrà rilasciato un report: salvalo ed allegalo;
2) una scansione completa con Malwarebytes (dopo averlo aggiornato); al termine della scansione verrà rilasciato un report: salvalo ed allegalo;

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: aiuto: finestre strane

Postdi fofo69 » 27/07/10 15:36

Riverside ha scritto:1) una scansione completa con Avira (dopo averlo aggiornato); al termine della scansione verrà rilasciato un report: salvalo ed allegalo;
2) una scansione completa con Malwarebytes (dopo averlo aggiornato); al termine della scansione verrà rilasciato un report: salvalo ed allegalo;

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.


ciao Riverside. Ci ho messo un bel po'... una media di 2 ore a scansione;
questo il report di Avira.
ps. Come vedrai, mi ha rilevato 1 "trojan" e mi ha fatto riavviare la macchina
AVSCAN-20100727-122536-2EB2695A.LOG

mentre questo quello di Malwarebytes:
malwarebite log.txt

grazie ancora per la pazienza.
Stefano.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi Riverside » 27/07/10 15:45

Stefano, le cose vanno un pò meglio ma non ci siamo ancora.
Per le scansioni devi avere pazienza (lo so che durano molto, ma servono a risolvere i problemi).
Ora prosegui in questa maniera:

Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● disabilita temporaneamente il tuo antivirus
● lancia ComboFix
● verrà chiesto di installare la Console di ripristino: non la installare
● prosegui seguendo le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni (quindi non toccare nulla), lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note: durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver: consentire

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare per il controllo.

ricollega, fisicamente, il modem al computer e connettiti a Internet ed allega il log di combofix
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: aiuto: finestre strane

Postdi fofo69 » 27/07/10 16:52

Ciao Riverside
scusa, ma alle 6 dovrei andare via. Se lascio combofix in esecuzione, è un problema?
Fa tutto da solo o devo essere fisicamente davanti al pc?
grazie
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi fofo69 » 28/07/10 08:55

Ciao Riverside
ieri verso le 5 ho lanciato combofix. Sinceramente, non so come fare per uscire da Avira, quindi con tasto dx sull'icona nel tray ho tolto la spunta ad "attiva" (non ho trovato proprio il modo di uscire dal programma).
Ho lanciato combofix il quale mi ha chiesto di disattivarlo, ho dato ok e lui ha riavviato la macchina.
QUindi è partito con sfondo del desktop e nessuna icona. Nel messaggio diceva che solitamente ci impiega 10min e nei pc molto infetti il tempo raddoppia. Ma io sono andato a casa alle 6 e stamattina alle 9 ancora c'era quella finestra. Ho riavviato il computer e sul disco c: mi ha creato 2 files:
1 con icona delle risorse del computer e se lo apro mi da tutta la struttura del computer (ma si chiama combofix) e 1 cartella "Qoobox" (credo sia stata creata da combofix, non ricordo di averla mai vista).
Dici che dovrei riprovare a lanciare combofix?
Magari era andato in tilt?
grazie, Stefano.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi MacGee » 28/07/10 10:52

MacGee
Utente Senior
 
Post: 489
Iscritto il: 13/05/10 15:05
Località: Firenze

Re: aiuto: finestre strane

Postdi fofo69 » 29/07/10 10:57

Ciao a tutti
questa mattina ho provato a rilanciare combofix
ho dato si a tutte le finestre ma quando arriva a " su pc molto infetti il tempo potrebbe..."
bè è fermo li da quasi un'ora e ancora vedo il desktop e l'orologio funziona regolarmente.
Mi sembra strano, dite che è normale?
grazie.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi fofo69 » 29/07/10 14:33

Niente da fare... ho aspettato 3 ore e ancora combofix non aveva finito. ho dovuto riavviare il computer.
Strano perchè leggendo i vari post, sembra che nessuno abbia problemi con questo programma.
Spero in una vs. risposta.
grazie, Stefano.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi fofo69 » 03/08/10 13:59

ciao a tutti.
Ho fatto un nuovo hijackthis e l'ho incollato nel sito di hijackthis.de (l'analizzatore automatico) e mi ha detto che non ci sono problemi.
Sinceramente continuo ad avere problemi:
- monitor della rete sempre accesi (invio costante di pacchetti)
- rete molto rallentata (ho chiamato il ns. fornitore e dice che non ci sono problemi sulla linea).
Inoltre continuo a non riuscire a far funzionare combofix, qualcuno può aiutarmi?
Grazie mille
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi fofo69 » 03/08/10 14:05

ho dimenticato il link:
hijackthis 3 8 10
:lol:
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi fofo69 » 03/08/10 15:24

Oggi, in modalita' provvisoria, sono riuscito a fare il combofix.
magari se ci fosse un'anima gentile che mi da 1 occhiata...

Codice: Seleziona tutto
ComboFix 10-08-02.03 - fofo 03/08/2010  15.59.05.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.2046.1531 [GMT 2:00]
Eseguito da: c:\documents and settings\fofo\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
.
[i] ADS - WINDOWS: deleted 48 bytes in 1 streams. [/i]

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\1MAROL2.TMP
c:\windows\system32\Cache
c:\windows\system32\nqtwa.bak2
c:\windows\system32\nqtwa.tmp
c:\windows\system32\w32apiw.dll

.
MBR is infected with the Whistler Bootkit !!

(((((((((((((((((((((((((((((((((((((((   Driver/Servizi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((((   Files Creati Da 2010-07-03 al 2010-08-03  )))))))))))))))))))))))))))))))))))
.

2010-07-30 08:23 . 2010-07-30 08:23   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Pixel Studio Pro
2010-07-27 12:17 . 2010-07-27 12:17   --------   d-----r-   c:\documents and settings\LocalService\Documenti
2010-07-26 12:33 . 2010-07-26 12:33   --------   d-----w-   c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\Adobe
2010-07-26 10:43 . 2008-04-13 16:39   142592   -c--a-w-   c:\windows\system32\dllcache\aec.sys
2010-07-26 10:43 . 2008-04-13 16:39   142592   ----a-w-   c:\windows\system32\drivers\aec.sys
2010-07-26 10:31 . 2008-09-26 23:37   188416   ----a-r-   c:\windows\system32\hppafx11.dll
2010-07-26 10:31 . 2007-07-16 21:29   59928   ----a-r-   c:\windows\system32\fxfaxchannel.dll
2010-07-26 10:31 . 2007-07-16 21:29   20504   ----a-r-   c:\windows\system32\drivers\hpfxfax.sys
2010-07-26 10:31 . 2008-09-26 23:37   188416   ----a-r-   c:\windows\system32\hppcew11.dll
2010-07-26 10:31 . 2007-07-16 21:29   26136   ----a-r-   c:\windows\system32\drivers\hpfxgen.sys
2010-07-26 10:31 . 2007-07-16 21:29   17432   ----a-r-   c:\windows\system32\drivers\hpfxbulk.sys
2010-07-23 09:05 . 2006-06-19 11:01   69632   ----a-w-   c:\windows\system32\ztvcabinet.dll
2010-07-23 09:05 . 2006-05-25 13:52   162304   ----a-w-   c:\windows\system32\ztvunrar36.dll
2010-07-23 09:05 . 2003-02-02 18:06   153088   ----a-w-   c:\windows\system32\UNRAR3.dll
2010-07-23 09:05 . 2002-03-05 23:00   75264   ----a-w-   c:\windows\system32\unacev2.dll
2010-07-22 10:39 . 2010-07-22 10:39   --------   d-----w-   c:\windows\UltraDefrag
2010-07-22 10:10 . 2010-07-22 10:10   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\SUPERAntiSpyware.com
2010-07-22 10:10 . 2010-07-22 10:10   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2010-07-22 10:10 . 2010-07-22 10:10   --------   d-----w-   c:\programmi\SUPERAntiSpyware
2010-07-22 07:21 . 2010-07-22 07:21   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Malwarebytes
2010-07-22 07:21 . 2010-04-29 13:39   38224   ----a-w-   c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-22 07:21 . 2010-07-22 07:21   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-07-22 07:21 . 2010-04-29 13:39   20952   ----a-w-   c:\windows\system32\drivers\mbam.sys
2010-07-22 07:21 . 2010-07-22 07:21   --------   d-----w-   c:\programmi\Malwarebytes' Anti-Malware
2010-07-21 16:05 . 2010-07-21 16:05   --------   d-----w-   c:\programmi\Enigma Software Group
2010-07-21 16:04 . 2010-07-22 07:36   --------   d-----w-   c:\windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
2010-07-21 15:38 . 2010-07-22 07:32   --------   d-----w-   c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\vrmwooadc
2010-07-21 15:22 . 2005-08-25 23:50   77312   ----a-w-   c:\windows\system32\ztvunace26.dll
2010-07-21 14:04 . 2010-07-21 14:04   16384   ---ha-w-   C:\SZKGFS.dat
2010-07-21 14:03 . 2010-07-21 14:03   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\SITEguard
2010-07-21 14:02 . 2010-07-21 14:44   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\STOPzilla!
2010-07-21 14:02 . 2010-07-21 14:02   --------   d-----w-   c:\programmi\File comuni\iS3
2010-07-21 13:12 . 2010-07-21 13:12   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Tific
2010-07-21 13:12 . 2010-07-21 13:12   --------   d-----w-   c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\Symantec
2010-07-21 10:47 . 2010-07-21 10:47   --------   d-----w-   c:\programmi\Windows Sidebar
2010-07-21 10:47 . 2010-07-21 13:03   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Norton
2010-07-21 10:47 . 2010-07-21 10:48   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\NortonInstaller
2010-07-21 09:12 . 2010-07-21 09:12   --------   d-----w-   c:\programmi\CCleaner
2010-07-21 07:10 . 2010-07-21 07:10   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Uniblue
2010-07-20 12:45 . 2010-07-20 13:37   --------   d-----w-   c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\hwdqnbqgo
2010-07-20 12:45 . 2010-08-03 14:12   766976   ----a-w-   c:\windows\system32\drivers\vnrbvdq.sys
2010-07-20 12:45 . 2010-07-20 12:46   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\8207F320B0AA24EF78D7F205BFCFE590
2010-07-14 10:20 . 2010-06-14 14:31   744448   -c----w-   c:\windows\system32\dllcache\helpsvc.exe
2010-07-12 08:53 . 2008-11-07 16:55   16928   ------w-   c:\windows\system32\spmsgXP_2k3.dll
2010-07-07 13:51 . 2010-07-07 13:51   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\ImTOO
2010-07-07 13:50 . 2010-07-07 13:50   --------   d-----w-   c:\programmi\ImTOO
2010-07-07 13:48 . 2010-07-07 13:48   --------   d-----w-   c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\Macroplant,_LLC

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-03 14:11 . 2008-09-19 09:39   --------   d-----w-   c:\programmi\DNA
2010-08-03 14:11 . 2008-09-19 09:39   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\DNA
2010-08-03 13:02 . 2009-09-15 14:13   --------   d-----w-   c:\programmi\Mozilla Thunderbird
2010-08-03 09:17 . 2010-08-03 10:52   2838   ----a-w-   c:\programmi\rotation.rot
2010-08-02 09:57 . 2007-02-28 08:58   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-07-29 12:39 . 2010-07-29 12:39   503808   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-57aa8ff4-n\msvcp71.dll
2010-07-29 12:39 . 2010-07-29 12:39   499712   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-57aa8ff4-n\jmc.dll
2010-07-29 12:39 . 2010-07-29 12:39   348160   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-57aa8ff4-n\msvcr71.dll
2010-07-26 13:43 . 2007-02-26 11:59   --------   d---a-w-   c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-07-26 12:30 . 2007-05-07 10:23   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Skype
2010-07-26 12:17 . 2009-01-26 09:11   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\skypePM
2010-07-26 10:33 . 2010-06-17 08:26   182681   ----a-w-   c:\windows\hppins11.dat
2010-07-23 09:26 . 2010-07-23 09:26   388096   ----a-r-   c:\documents and settings\fofo\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-07-23 09:26 . 2007-02-28 14:49   --------   d-----w-   c:\programmi\Trend Micro
2010-07-22 10:33 . 2008-03-06 10:55   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2010-07-22 10:11 . 2010-07-22 10:11   63488   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-22 10:11 . 2010-07-22 10:11   52224   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-22 10:11 . 2010-07-22 10:11   117760   ----a-w-   c:\documents and settings\fofo\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-21 16:04 . 2009-03-02 15:26   --------   d-----w-   c:\programmi\File comuni\Wise Installation Wizard
2010-07-21 14:41 . 2010-07-21 14:11   13872   ----a-w-   c:\windows\system32\drivers\kgpcpy.cfg
2010-07-21 13:24 . 2008-11-12 16:05   --------   d-----w-   c:\programmi\File comuni\Symantec Shared
2010-07-21 13:23 . 2008-11-12 16:05   --------   d-----w-   c:\programmi\Symantec
2010-07-15 14:44 . 2008-09-19 09:39   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\BitTorrent
2010-07-12 08:53 . 2010-07-12 08:53   0   ---ha-w-   c:\windows\system32\drivers\Msft_Kernel_netaapl_01009.Wdf
2010-07-12 08:53 . 2010-07-12 08:53   0   ---ha-w-   c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-07-02 08:45 . 2008-09-22 07:38   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\FLEXnet
2010-06-28 08:59 . 2010-06-28 08:59   --------   d-----w-   c:\programmi\Xvid
2010-06-24 07:49 . 2006-03-02 12:00   541470   ----a-w-   c:\windows\system32\perfh010.dat
2010-06-24 07:49 . 2006-03-02 12:00   101278   ----a-w-   c:\windows\system32\perfc010.dat
2010-06-22 15:54 . 2007-02-28 15:38   --------   d-----w-   c:\documents and settings\fofo\Dati applicazioni\Apple Computer
2010-06-22 15:47 . 2010-06-22 15:46   --------   d-----w-   c:\programmi\iTunes
2010-06-22 15:47 . 2010-06-22 15:46   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-22 15:46 . 2010-06-22 15:46   --------   d-----w-   c:\programmi\iPod
2010-06-22 15:46 . 2008-10-20 07:31   --------   d-----w-   c:\programmi\File comuni\Apple
2010-06-22 15:43 . 2007-02-28 15:34   --------   d-----w-   c:\programmi\QuickTime
2010-06-22 15:38 . 2008-09-22 07:14   --------   d-----w-   c:\programmi\Bonjour
2010-06-22 12:09 . 2010-06-22 12:09   --------   d-----w-   c:\programmi\File comuni\Skype
2010-06-22 12:09 . 2007-05-07 10:22   --------   d-----r-   c:\programmi\Skype
2010-06-22 12:09 . 2007-05-07 10:23   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Skype
2010-06-18 10:39 . 2010-06-18 10:17   --------   d-----w-   c:\programmi\FreeOCR
2010-06-18 10:17 . 2010-06-18 10:17   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Tarma Installer
2010-06-17 08:36 . 2010-06-17 08:30   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\HP
2010-06-17 08:36 . 2010-06-16 10:35   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Hewlett-Packard
2010-06-17 08:31 . 2010-06-16 10:31   --------   d-----w-   c:\programmi\HP
2010-06-17 08:30 . 2010-06-16 10:38   608   --sha-w-   c:\windows\system32\winzvprt5.sys
2010-06-17 08:30 . 2010-06-17 08:30   --------   d-----w-   c:\programmi\File comuni\HP
2010-06-17 08:30 . 2010-06-17 08:30   --------   d-----w-   c:\programmi\Hewlett-Packard
2010-06-16 14:58 . 2009-11-10 10:08   --------   d-----w-   c:\programmi\MSECache
2010-06-16 13:34 . 2009-03-26 16:46   --------   d-----w-   c:\programmi\Okidata
2010-06-16 12:45 . 2007-02-26 16:06   139432   ----a-w-   c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-06-16 12:39 . 2010-06-16 12:39   --------   d-----w-   c:\programmi\File comuni\Hewlett-Packard
2010-06-16 12:14 . 2010-06-16 12:14   --------   d-----w-   c:\programmi\File comuni\SWF Studio
2010-06-15 18:01 . 2010-06-15 18:01   72504   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2007-02-16 13:07   744448   ----a-w-   c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:47 . 2010-06-11 13:51   --------   d-----w-   c:\programmi\DScaler
2010-06-09 00:40 . 2008-11-10 16:09   --------   d-----w-   c:\programmi\Microsoft Silverlight
2010-05-29 19:05 . 2010-05-29 19:05   8704   ----a-w-   c:\windows\system32\bootexctrl.exe
2010-05-29 19:05 . 2010-05-29 19:05   11776   ----a-w-   c:\windows\system32\wgx.dll
2010-05-29 19:05 . 2010-05-29 19:05   24576   ----a-w-   c:\windows\system32\udefrag.exe
2010-05-29 19:05 . 2010-05-29 19:05   14848   ----a-w-   c:\windows\system32\lua5.1a_gui.exe
2010-05-29 19:04 . 2010-05-29 19:04   92160   ----a-w-   c:\windows\system32\lua5.1a.dll
2010-05-29 19:04 . 2010-05-29 19:04   10752   ----a-w-   c:\windows\system32\lua5.1a.exe
2010-05-29 19:04 . 2010-05-29 19:04   6144   ----a-w-   c:\windows\system32\hibernate4win.exe
2010-05-29 19:04 . 2010-05-29 19:04   8192   ----a-w-   c:\windows\system32\udefrag.dll
2010-05-29 19:04 . 2010-05-29 19:04   45056   ----a-w-   c:\windows\system32\udefrag-kernel.dll
2010-05-29 19:04 . 2010-05-29 19:04   26624   ----a-w-   c:\windows\system32\zenwinx.dll
2010-05-29 19:04 . 2010-05-29 19:04   73216   ----a-w-   c:\windows\system32\defrag_native.exe
2010-05-21 12:14 . 2009-10-05 07:19   221568   ------w-   c:\windows\system32\MpSigStub.exe
2010-05-18 14:35 . 2010-05-18 14:35   91424   ----a-w-   c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35   197920   ----a-w-   c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35   107808   ----a-w-   c:\windows\system32\dns-sd.exe
2006-05-03 09:06 . 2008-05-13 09:10   163328   --sh--r-   c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-05-13 09:10   31232   --sh--r-   c:\windows\system32\msfDX.dll
2007-12-17 12:43 . 2008-05-13 09:10   27648   --sh--w-   c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlay1EXL600]
@="{BF9B13E4-FE9B-4121-853F-866F4E9E2830}"
[HKEY_CLASSES_ROOT\CLSID\{BF9B13E4-FE9B-4121-853F-866F4E9E2830}]
2008-04-16 13:55   599552   ----a-w-   c:\windows\system32\FPAP-EXL600\FileptcIconOverlay.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="c:\programmi\DNA\btdna.exe" [2009-11-13 323392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPUsageTracking"="c:\programmi\HP\HP UT\bin\hppusg.exe" [2009-05-11 24576]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SoundMAXPnP"="c:\programmi\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"MbWzdFPAP-EXL600"="c:\windows\system32\FPAP-EXL600\PdtGuide.exe" [2008-04-16 1030656]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

c:\documents and settings\fofo\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21   548352   ----a-w-   c:\programmi\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2007-04-27 10:10   18744   ----a-w-   c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^EPSON Status Monitor 3 Environment Check(3).lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\EPSON Status Monitor 3 Environment Check(3).lnk
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check(3).lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-04-12 22:46   1135912   ----a-w-   c:\programmi\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
2008-03-10 13:46   29744   ----a-w-   c:\programmi\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2006-11-03 17:20   866584   ----a-w-   c:\programmi\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"OKI OPHI DCS Loader"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\FTP Explorer\\ftpx.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\mIRC\\mirc.exe"=
"c:\\Programmi\\LeechFTP\\Leechftp.exe"=
"c:\\Programmi\\DNA\\btdna.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programmi\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"=
"c:\\Documents and Settings\\fofo\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4662:TCP"= 4662:TCP:emule_tcp
"4672:UDP"= 4672:UDP:emule_tcp

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20.25.48 12872]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20.41.30 67656]
R2 WinDefend;Windows Defender;c:\programmi\Windows Defender\MsMpEng.exe [03/11/2006 19.19.58 13592]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [18/09/2007 0.35.41 223232]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\programmi\Google\Google Desktop Search\GoogleDesktop.exe [10/03/2008 15.46.22 29744]
S3 HPFXFAX;HPFXFAX;c:\windows\system32\drivers\hpfxfax.sys [26/07/2010 12.31.47 20504]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [22/06/2010 17.38.41 18432]
S3 SR9USB;SR9600 USB To Fast Ethernet Adapter;c:\windows\system32\drivers\SR9USB.sys [01/07/2009 13.42.54 14592]
S4 OKI OPHI DCS Loader;OKI OPHI DCS Loader;c:\windows\system32\spool\drivers\w32x86\3\OPHILDCS.EXE [26/03/2009 18.46.18 24576]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/05/2007 9.55.12 639224]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - vnrbvdq

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt   REG_MULTI_SZ      hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53   451872   ----a-w-   c:\programmi\File comuni\LightScribe\LSRunOnce.exe
.
Contenuto della cartella 'Scheduled Tasks'

2010-08-03 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]

2010-08-03 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uDefault_Search_URL =
uSearchAssistant =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Append to existing PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti destinazione link in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti i link selezionati in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Converti i link selezionati in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Converti nel file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti selezione in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} - hxxp://visualizzamms.net.vodafone.it/mms/EmblazePCPlayerActiveXs.cab
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - c:\documents and settings\fofo\Dati applicazioni\Mozilla\Firefox\Profiles\lpje8hwh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\documents and settings\fofo\Dati applicazioni\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\documents and settings\fofo\Dati applicazioni\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programmi\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programmi\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programmi\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

MSConfigStartUp-sta - cixwp.dll
AddRemove-KPT 6 - c:\programmi\adobe\adobe photoshop cs2\KPT6\KPT6Unin.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-03 16:12
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A9ACB4C]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7fcb8
\Driver\atapi -> atapi.sys @ 0xb9e4f852
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xb9d2fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb9d3ca21
 SendHandler -> NDIS.sys @ 0xb9d1a87b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vnrbvdq]

.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\WININET.dll
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\PCANotify.dll

- - - - - - - > 'lsass.exe'(744)
c:\windows\system32\WININET.dll

- - - - - - - > 'explorer.exe'(2120)
c:\windows\system32\WININET.dll
c:\windows\system32\FPAP-EXL600\FileptcIconOverlay.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\ftpxext.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\windows\system32\crypserv.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\LightScribe\LSSrvc.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\UTSCSI.EXE
c:\programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programmi\iPod\bin\iPodService.exe
.
**************************************************************************
.
Ora fine scansione: 2010-08-03  16:20:25 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2010-08-03 14:20

Pre-Run: 146.592.980.992 byte disponibili
Post-Run: 146.618.806.272 byte disponibili

Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 61A7BACEB94B286A7E471334AE25392F
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi MacGee » 03/08/10 15:39

MBR is infected with the Whistler Bootkit !! è il primo messaggio che ti da Combofix, guarda qui e segui le istruzioni: http://it.kioskea.net/faq/1121-come-eli ... er-bootkit . Ciao.
MacGee
Utente Senior
 
Post: 489
Iscritto il: 13/05/10 15:05
Località: Firenze

Re: aiuto: finestre strane

Postdi fofo69 » 03/08/10 16:13

MacGee ha scritto:MBR is infected with the Whistler Bootkit !! è il primo messaggio che ti da Combofix, guarda qui e segui le istruzioni: http://it.kioskea.net/faq/1121-come-eli ... er-bootkit . Ciao.


Ciao MacGee
ho scaricato BTKR e remover.
ho scelto 3 e poi 1.
è partito e ora si è fermato a questa scritta:
Restoring boot code at \\.\PhysicalDrive0...
e sotto c'è un ok verde.
Il pc non mi si è riavviato. è normale?
Cosa devo fare?
Scusa per la mia ignoranza.
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi MacGee » 03/08/10 16:47

Devi riavviarlo tu.
MacGee
Utente Senior
 
Post: 489
Iscritto il: 13/05/10 15:05
Località: Firenze

Re: aiuto: finestre strane

Postdi fofo69 » 03/08/10 17:01

questo il log del MBRCheck:

Codice: Seleziona tutto
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:         
Windows Version:      Windows XP Professional
Windows Information:      Service Pack 3 (build 2600)
Logical Drives Mask:      0x0000001d

Kernel Drivers (total 137):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0x8A68E000 \WINDOWS\system32\KDCOM.DLL
  0xBA4BC000 \WINDOWS\system32\BOOTVID.dll
  0xB9F79000 ACPI.sys
  0xBA5A8000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA0A8000 isapnp.sys
  0xB9F68000 pci.sys
  0xB9EA6000 vnrbvdq.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9E87000 ftdisk.sys
  0xBA5AA000 dmload.sys
  0xB9E61000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9E49000 atapi.sys
  0xB9E30000 nvata.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9E10000 fltmgr.sys
  0xB9DFE000 sr.sys
  0xBA0F8000 PxHelp20.sys
  0xB9DE7000 KSecDD.sys
  0xB9DD4000 WudfPf.sys
  0xB9D47000 Ntfs.sys
  0xB9D1A000 NDIS.sys
  0xBA4C0000 Gernuwa.sys
  0xBA108000 Combo-Fix.sys
  0xB9D00000 Mup.sys
  0xBA228000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xBA458000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB8C36000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA460000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBA238000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB9CDC000 \SystemRoot\system32\drivers\pfc.sys
  0xBA248000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA258000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB8C13000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA468000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
  0xB8BEB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA268000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xB8AE4000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xB8A91000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
  0xB86CA000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB86B6000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB9CD4000 \SystemRoot\system32\drivers\aw_host5.sys
  0xBA5F6000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xBA470000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB86A5000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB9CD0000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB8691000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA278000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA478000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA480000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB9CCC000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0xBA5F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBA6B2000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA5FA000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xBA488000 \SystemRoot\System32\Drivers\Modem.SYS
  0xBA288000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB8C7E000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB867A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA298000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA2A8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA490000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB8669000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA2B8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA498000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA4A0000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB8639000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA2C8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA5FC000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB85DB000 \SystemRoot\system32\DRIVERS\update.sys
  0xB8C62000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA2D8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB976E000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xAC854000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xAC830000 \SystemRoot\system32\drivers\portcls.sys
  0xADC39000 \SystemRoot\system32\drivers\drmk.sys
  0xAC819000 \SystemRoot\system32\drivers\AEAudio.sys
  0xAC7B9000 \SystemRoot\system32\drivers\Senfilt.sys
  0xA782E000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xA85E2000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xA98E6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA797000 \SystemRoot\System32\Drivers\Null.SYS
  0xA98E4000 \SystemRoot\System32\Drivers\Beep.SYS
  0xA85D2000 \SystemRoot\System32\drivers\vga.sys
  0xA98E2000 \SystemRoot\system32\drivers\awechomd.sys
  0xA98E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xA98DE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xA85CA000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xA85C2000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xA872C000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xA519A000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xA5141000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xA5119000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xA50F3000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xA50D1000 \SystemRoot\System32\drivers\afd.sys
  0xA74FB000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xA74EB000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xA50AF000 \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.SYS
  0xA7FD6000 \??\C:\Programmi\SUPERAntiSpyware\SASDIFSV.SYS
  0xA5084000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xBA7AE000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
  0xA8714000 \SystemRoot\system32\ckldrv.sys
  0xA5014000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xA74CB000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA7FCE000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xA4FF8000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xA9309000 \??\C:\Programmi\Avira\AntiVir Desktop\avgio.sys
  0xA749B000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA4FDF000 \SystemRoot\System32\Drivers\dump_nvata.sys
  0xA9305000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xA746F000 \SystemRoot\System32\drivers\Dxapi.sys
  0xA7FB6000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA7D8000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA3E0E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA7473000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA2D19000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA2CDC000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB97EE000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA648000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xA28AD000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA2861000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xAD0D3000 \??\C:\DOCUME~1\fofo\IMPOST~1\Temp\mbr.sys
  0xBA3D8000 \SystemRoot\System32\Drivers\TDTCP.SYS
  0xA0E0F000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xA0C66000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBA378000 \??\C:\ComboFix\catchme.sys
  0xAFDB5000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 44):
       0 System Idle Process
       4 System
     612 C:\WINDOWS\system32\smss.exe
     660 csrss.exe
     684 C:\WINDOWS\system32\winlogon.exe
     732 C:\WINDOWS\system32\services.exe
     744 C:\WINDOWS\system32\lsass.exe
     956 C:\WINDOWS\system32\svchost.exe
    1004 svchost.exe
    1104 C:\Programmi\Windows Defender\MsMpEng.exe
    1144 C:\WINDOWS\system32\svchost.exe
    1192 C:\WINDOWS\system32\svchost.exe
    1364 svchost.exe
    1532 svchost.exe
    1720 C:\WINDOWS\system32\spoolsv.exe
    1784 C:\Programmi\Avira\AntiVir Desktop\sched.exe
    1904 svchost.exe
     308 C:\Programmi\Avira\AntiVir Desktop\avguard.exe
     352 C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     444 C:\Programmi\Bonjour\mDNSResponder.exe
     488 C:\WINDOWS\system32\Crypserv.exe
     888 C:\WINDOWS\system32\svchost.exe
    1628 C:\WINDOWS\system32\inetsrv\inetinfo.exe
    1832 C:\Programmi\Java\jre6\bin\jqs.exe
    1924 C:\Programmi\File comuni\LightScribe\LSSrvc.exe
    3304 C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    3344 C:\WINDOWS\system32\svchost.exe
    3408 C:\WINDOWS\system32\nvsvc32.exe
    3432 C:\WINDOWS\system32\svchost.exe
    3500 C:\WINDOWS\system32\svchost.exe
    3672 C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
    3740 C:\WINDOWS\system32\UTSCSI.EXE
    2876 C:\Programmi\Java\jre6\bin\jusched.exe
    2888 C:\Programmi\Analog Devices\Core\smax4pnp.exe
    2920 C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
    2940 C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    2976 C:\Programmi\iTunes\iTunesHelper.exe
    3024 C:\Programmi\DNA\btdna.exe
    3064 C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
    3548 C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    1508 C:\Programmi\iPod\bin\iPodService.exe
    1200 alg.exe
    2120 C:\WINDOWS\explorer.exe
    2244 C:\Documents and Settings\fofo\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3250820AS, Rev: 3.AAE   
PhysicalDrive1 Model Number: MAXTORSTM3250820AS, Rev: 3.AAE   

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: 680C3DFB3AF5C02B7E098CA7B25CA73D63745DC5
    232 GB  \\.\PhysicalDrive1   Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: 680C3DFB3AF5C02B7E098CA7B25CA73D63745DC5


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice:

Done!


grazie
fofo69
Utente Junior
 
Post: 26
Iscritto il: 23/07/10 10:57

Re: aiuto: finestre strane

Postdi MacGee » 03/08/10 17:06

Ora è a posto? funziona tutto senza anomalie?
MacGee
Utente Senior
 
Post: 489
Iscritto il: 13/05/10 15:05
Località: Firenze

Re: aiuto: finestre strane

Postdi Luke57 » 03/08/10 18:35

Ciao,Apri il block notes di windows
Copia e incolla all'interno del file testo il seguente script:

Codice: Seleziona tutto
Driver::
vnrbvdq
kgpcpy

File::
C:\SZKGFS.dat
c:\windows\system32\drivers\vnrbvdq.sys
c:\windows\system32\drivers\kgpcpy.cfg
c:\windows\system32\winzvprt5.sys

Folder::
c:\documents and settings\fofo\Impostazioni locali\Dati applicazioni\vrmwooadc

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vnrbvdq]



Salva il file testo nella stessa posizione dove è presente combofix.exe e chiamalo CFScript.txt
Disconettiti da internet.

Adesso trascina il file CFScript.txt su ComboFix.exe
Il programma eseguirà una nuova scansione,al termine riavvia il pc se ti viene richiesto dal programma.
Posta il nuovo report, poi Scarica questo tool e copialo in C:\,
http://www2.gmer.net/mbr/mbr.exe

Da Start>Esegui
copia e incolla
C:\mbr.exe -f
dai l'OK

riavvia il pc

Da Start>Esegui
copia e incolla
C:\mbr.exe
dai l'OK

portati in C:\ copia / incolla il file di testo con all'interno i valori del MBR.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "aiuto: finestre strane":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti