strano avviso di errore log hijack

[giuseppex]

ciao a tutti e come sempre un grazie per il lavoro che continuate sempre e alla grande ho il pc che all'avvio mi da un avviso con un triangolo giallo e la diciture impossibile trovare il profilo e neanche un paio di giorni fa avira mi ha trovato 2 TR/CryptGen ho installato malwarebytes ma non mi parte (pero' l'ho potuto aggiornare ...) non so cosa fare confido nel vostro aiuto vi posto il logfile di hijackthis vi ringrazio anticipatamente in attesa di vostre nuove Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.37.12, on 29/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utente XP\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.ask.com/?o=15383&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4068 bytes

[FrancescoFDAC]

Ciao. Dal log non si evince granchè!

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

[giuseppex]

ecco il log text di combofix grazie ancora (scusate lo spazio ma ho cercato per una decina di minuti come allegare il text senza riuscirvi) ComboFix 12-01-29.02 - Utente XP 29/01/2012 18.24.28.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.447.56 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente XP\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5CE9-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Outdated* {00000002-0002-0000-14EF-9D7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-7C25-9E7C08000A00}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Utente XP\Documenti\Internet Explorer.lnk
.
.
((((((((((((((((((((((((( Files Creati Da 2011-12-28 al 2012-01-29 )))))))))))))))))))))))))))))))))))
.
.
2012-01-29 12:15 . 2012-01-29 14:19 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2012-01-25 15:12 . 2012-01-25 15:12 2106216 ----a-w- c:\programmi\Mozilla Firefox\D3DCompiler_43.dll
2012-01-25 15:12 . 2012-01-25 15:12 121816 ----a-w- c:\programmi\Mozilla Firefox\components\browsercomps.dll
2012-01-25 15:12 . 2012-01-25 15:12 1998168 ----a-w- c:\programmi\Mozilla Firefox\d3dx9_43.dll
2012-01-25 15:12 . 2012-01-25 15:12 97240 ----a-w- c:\programmi\Mozilla Firefox\libEGL.dll
2012-01-25 15:12 . 2012-01-25 15:12 486360 ----a-w- c:\programmi\Mozilla Firefox\libGLESv2.dll
2012-01-25 15:12 . 2012-01-25 15:12 15832 ----a-w- c:\programmi\Mozilla Firefox\mozalloc.dll
2012-01-25 15:12 . 2012-01-25 15:12 2124760 ----a-w- c:\programmi\Mozilla Firefox\mozjs.dll
2012-01-25 15:12 . 2012-01-25 15:12 814040 ----a-w- c:\programmi\Mozilla Firefox\mozsqlite3.dll
2012-01-25 15:12 . 2012-01-25 15:12 43992 ----a-w- c:\programmi\Mozilla Firefox\mozutils.dll
2012-01-25 15:12 . 2012-01-25 15:12 479232 ----a-w- c:\programmi\Mozilla Firefox\msvcm80.dll
2012-01-25 15:12 . 2012-01-25 15:12 626688 ----a-w- c:\programmi\Mozilla Firefox\msvcr80.dll
2012-01-25 15:12 . 2012-01-25 15:12 548864 ----a-w- c:\programmi\Mozilla Firefox\msvcp80.dll
2012-01-21 18:34 . 2012-01-21 18:34 -------- d-----w- c:\programmi\Steveredrum
2012-01-20 17:10 . 2012-01-20 17:10 -------- d-----w- c:\documents and settings\Utente XP\Impostazioni locali\Dati applicazioni\eSupport.com
2012-01-19 18:35 . 2012-01-19 18:35 -------- d-----w- C:\softpaq
2012-01-17 21:25 . 1994-11-29 23:00 60992 ----a-r- c:\windows\PLAYER.EXE
2012-01-17 21:25 . 1994-11-29 23:00 47712 ----a-r- c:\windows\VIEWER.EXE
2012-01-17 21:25 . 1994-11-29 23:00 4128 ----a-r- c:\windows\system\QTNOTIFY.EXE
2012-01-17 21:25 . 1994-11-29 23:00 17536 ----a-r- c:\windows\VIEWENU.DLL
2012-01-17 21:25 . 1994-11-29 23:00 172066 ----a-r- c:\windows\README.EXE
2012-01-17 21:25 . 1994-11-29 23:00 16912 ----a-r- c:\windows\PLAYENU.DLL
2012-01-17 21:25 . 1994-11-29 23:00 8320 ----a-r- c:\windows\system\QTHNDLR.DLL
2012-01-17 21:25 . 1994-11-29 23:00 73360 ----a-r- c:\windows\system\QTOLE.DLL
2012-01-17 21:25 . 1994-11-29 23:00 353392 ----a-r- c:\windows\system\QTIM.DLL
2012-01-17 21:25 . 1994-11-29 23:00 41344 ----a-r- c:\windows\system\MCIQTW.DRV
2012-01-17 21:25 . 1994-11-29 23:00 3888 ----a-r- c:\windows\system\MCIQTENU.DLL
2012-01-17 21:25 . 1994-11-29 23:00 14336 ----a-r- c:\windows\system\QTIMCMGR.DLL
2012-01-12 17:03 . 2012-01-12 17:03 -------- d-----w- c:\documents and settings\Utente XP\Dati applicazioni\PopCapv1002
2012-01-12 17:02 . 2012-01-12 17:02 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PopCap Games
2012-01-04 18:49 . 2012-01-04 18:49 -------- d-----w- c:\programmi\File comuni\TerraGame Shared
2012-01-04 18:22 . 2009-07-16 15:32 139264 ----a-w- c:\windows\NeoUninstall.exe
2012-01-04 18:21 . 2012-01-12 17:54 -------- d-----w- C:\Program Files
2012-01-04 16:46 . 2012-01-04 17:24 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Video Strip Poker Supreme
2012-01-03 20:31 . 2007-06-01 09:39 765952 ----a-w- c:\windows\system32\xvidcore.dll
2012-01-03 20:31 . 2007-06-01 09:39 77824 ----a-w- c:\windows\system32\xvid.ax
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-21 15:01 . 2010-05-15 08:07 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-11-16 11:57 . 2011-05-23 15:08 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-25 15:12 . 2012-01-25 15:12 121816 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"VTTimer"="VTTimer.exe" [2004-10-22 53248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
.
S2 gupdate;Servizio di Google Update (gupdate);"c:\programmi\Google\Update\GoogleUpdate.exe" /svc --> c:\programmi\Google\Update\GoogleUpdate.exe [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
.
Contenuto della cartella 'Scheduled Tasks'
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://it.ask.com/?o=15383&l=dis
uInternet Connection Wizard,ShellNext = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Utente XP\Dati applicazioni\Mozilla\Firefox\Profiles\rc4crdps.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.it
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-Astronomy 2005 Screensaver - c:\programmi\Edible Entertainment
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-29 18:31
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Ora fine scansione: 2012-01-29 18:33:34
ComboFix-quarantined-files.txt 2012-01-29 17:33
.
Pre-Run: 38.172.680.192 byte disponibili
Post-Run: 38.159.212.544 byte disponibili
.
- - End Of File - - DF15AC0E0297C55A66728CB7A96C9A2F

[giuseppex]

rieccomi ieri sera dopo aver disinstallato avira mi ha fatto partire malwarebytes che ha trovato 4 PUP.BundleOffer.Downlkoader.S rispettivamente eliminati nella cartella SystemVolume Information (guarda)C:\System Volume Information\_restore{99FE9403-229C-44D3-A188-020FFE7029F4}\RP405\A0097893.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{99FE9403-229C-44D3-A188-020FFE7029F4}\RP416\A0099476.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{99FE9403-229C-44D3-A188-020FFE7029F4}\RP421\A0100819.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{99FE9403-229C-44D3-A188-020FFE7029F4}\RP421\A0100822.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo. poi ho scansionato con avira e non ha trovato nulla.Stamattina mentre navigavo in acque abbastanza calme avira suona e mi ritrova il caro TR/CryptGen per ben 3 volte anche stavolta elimino e al momento sto riscansionando con avira in attesa di rilanciare malwarebytes per favore ditemi cosa posso fare per liberarmi di questi disgraziati come sempre grazie tante per il vostro lavoro p.s. :dimenticavo ieri dopo aver disinstallato avira fatto partire malwarebytes non dava piu il messaggio di errore all'avvio col triangolino fiallo impossibile trovare il profilo