Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Generic Host Process For Win32 Services

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Generic Host Process For Win32 Services

Postdi Layla » 05/03/12 23:02

Salve a tutti,

come da titolo, compare continuamente quest'errore:Generic Host Process For Win32 Services
Questo problema si associa ad un rallentamento del pc e alla "disattivazione" dell'Audio. La finestra di errore compare ogni qualvolta il pc è connesso ad internet.
Ho provato ad utilizzare MalwareBytes, rimuovendo diversi file sospetti. Tuttavia, il problema persiste.
A questo punto mi affido ai vostri suggerimenti!
Ho provato anche HiJackThis, ma non sono riuscita a riconosce file sospetti.

Grazie per l'attenzione!
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Sponsor
 

Re: Generic Host Process For Win32 Services

Postdi Layla » 05/03/12 23:26

Non riesco ad editare il risultato di Hijackthis ... :oops:
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 06/03/12 13:53

Ciao. Il sistema antispam del forum vuole che tu abbia scritto almeno 3 messaggi per pubblicare log/link.
Fallo, vai a presentarti nell'apposita sezione :)


Quindi, oltre al log di HJT, allega quello di MBAM:
Scarica Malwarebytes' Anti-Malware - Free Edition: http://www.malwarebytes.org
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 06/03/12 18:58

Log di HijackThis:
Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.55.29, on 05/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programmi\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223662323031
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F4F5397-AB36-4E4A-900B-0DC12402A49F}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{91F320B5-7BFC-4D9E-83F6-94C883DDACA3}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi Layla » 06/03/12 19:00

ho riprovato Malwarebytes, ma non ha ritrovato elementi nocivi. Posto il Log:
Codice: Seleziona tutto
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versione database: v2012.03.05.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702


06/03/2012 16.43.05
mbam-log-2012-03-06 (16-43-05).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 282232
Tempo impiegato: 1 ore, 17 minuti, 7 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 07/03/12 14:13

Deduco che la cosa sia alquanto seria, pertanto procediamo con ComboFix.

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 08/03/12 11:18

Ecco il risultato di Combofix:
Codice: Seleziona tutto
ComboFix 12-03-07.05 - Loredana 08/03/2012  11.04.41.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.1015.623 [GMT 1:00]
Eseguito da: c:\documents and settings\Loredana\Desktop\ComboFix.exe
AV: COMODO Antivirus *Disabled/Updated* {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
FW: COMODO Firewall *Disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Loredana\WINDOWS
c:\windows\IsUn0410.exe
c:\windows\system\oeminfo.ini
c:\windows\system32\Gdiplus.dll
c:\windows\unin0410.exe
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
(((((((((((((((((((((((((   Files Creati Da 2012-02-08 al 2012-03-08  )))))))))))))))))))))))))))))))))))
.
.
2012-03-05 15:46 . 2012-03-05 15:46   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\Malwarebytes
2012-03-05 15:45 . 2012-03-05 15:45   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-03-05 15:45 . 2012-03-05 15:45   --------   d-----w-   c:\programmi\Malwarebytes' Anti-Malware
2012-03-05 15:45 . 2011-12-10 14:24   20464   ----a-w-   c:\windows\system32\drivers\mbam.sys
2012-03-05 13:00 . 2012-03-05 13:00   --------   dc-h--w-   c:\windows\ie8
2012-03-05 10:42 . 2012-03-05 10:42   388096   ----a-r-   c:\documents and settings\Loredana\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-05 10:42 . 2012-03-05 10:42   --------   d-----w-   c:\programmi\Trend Micro
2012-03-02 18:03 . 2012-03-02 18:03   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\HP
2012-03-02 18:02 . 2012-03-02 18:02   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\HP
2012-03-02 18:00 . 2012-03-02 18:00   --------   d-----w-   c:\programmi\File comuni\HP
2012-03-02 17:57 . 2006-06-03 20:29   48640   ----a-w-   c:\windows\system32\hpzll4pi.dll
2012-03-02 17:57 . 2006-06-03 20:29   76288   ----a-w-   c:\windows\system32\Spool\prtprocs\w32x86\hpzpp4pi.dll
2012-03-02 17:57 . 2006-03-03 20:03   282680   ----a-w-   c:\windows\system32\HPZidr12.dll
2012-03-02 17:57 . 2006-03-03 20:03   65536   ----a-w-   c:\windows\system32\HPZinw12.exe
2012-03-02 17:57 . 2006-03-03 20:03   69632   ----a-w-   c:\windows\system32\HPZipm12.exe
2012-03-02 17:57 . 2006-03-03 20:02   204800   ----a-w-   c:\windows\system32\HPZipr12.dll
2012-03-02 17:57 . 2006-03-03 20:02   94208   ----a-w-   c:\windows\system32\HPZipt12.dll
2012-03-02 17:57 . 2006-03-03 20:02   57344   ----a-w-   c:\windows\system32\HPZisn12.dll
2012-03-02 17:56 . 1998-10-29 15:45   306688   ----a-w-   c:\windows\IsUninst.exe
2012-03-02 17:55 . 2008-04-13 10:47   25856   -c--a-w-   c:\windows\system32\dllcache\usbprint.sys
2012-03-02 17:55 . 2008-04-13 10:47   25856   ----a-w-   c:\windows\system32\drivers\usbprint.sys
2012-02-26 14:40 . 2012-02-26 14:40   --------   d-----w-   c:\programmi\File comuni\Skype
2012-02-26 14:40 . 2012-03-01 13:04   --------   d-----r-   c:\programmi\Skype
2012-02-21 20:24 . 2012-02-21 20:55   --------   d-----w-   c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater
2012-02-21 20:24 . 2012-02-22 17:08   --------   d-----w-   c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\PosService
2012-02-21 16:21 . 2012-02-21 16:21   --------   d-----r-   c:\documents and settings\LocalService\Preferiti
2012-02-21 11:38 . 2004-08-19 13:39   221184   ----a-w-   c:\windows\system32\wmpns.dll
2012-02-20 18:48 . 2012-02-20 18:48   --------   d-----w-   c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Adobe
2012-02-18 10:16 . 2012-02-18 10:16   --------   d-----w-   c:\programmi\CCleaner
2012-02-17 09:30 . 2012-02-17 10:37   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\Wise Registry Cleaner
2012-02-17 09:16 . 2012-02-17 09:16   --------   d-sh--w-   c:\documents and settings\Loredana\IECompatCache
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-15 13:53 . 2012-01-12 17:44   414368   ----a-w-   c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-13 17:27 . 2012-01-13 17:27   73728   ----a-w-   c:\windows\system32\javacpl.cpl
2012-01-13 17:27 . 2012-01-13 17:27   472808   ----a-w-   c:\windows\system32\deployJava1.dll
2011-12-19 17:59 . 2011-12-19 17:59   97760   ----a-w-   c:\windows\system32\drivers\inspect.sys
2011-12-19 17:59 . 2011-12-19 17:59   494816   ----a-w-   c:\windows\system32\drivers\cmdGuard.sys
2011-12-19 17:59 . 2011-12-19 17:59   31704   ----a-w-   c:\windows\system32\drivers\cmdhlp.sys
2011-12-19 17:59 . 2011-12-19 17:59   18056   ----a-w-   c:\windows\system32\drivers\cmderd.sys
2011-12-19 17:58 . 2011-12-19 17:58   33984   ----a-w-   c:\windows\system32\cmdcsr.dll
2011-12-19 17:58 . 2011-12-19 17:58   301224   ----a-w-   c:\windows\system32\guard32.dll
2012-02-17 14:45 . 2012-01-14 21:36   134104   ----a-w-   c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-10-10 1871872]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-18 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-18 137752]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"SynTPStart"="c:\programmi\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cfp.exe" [2011-12-19 6676808]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38   34672   ----a-w-   c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-01-12 18:40   136176   ----atw-   c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 01:41   49152   ----a-w-   c:\programmi\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
2007-03-01 11:18   472776   ----a-w-   c:\programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2007-10-03 13:44   178712   ----a-w-   c:\programmi\Intel\Intel Matrix Storage Manager\IAAnotif.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
2007-11-06 14:34   177456   ----a-w-   c:\programmi\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-02-15 12:35   17146504   ----a-r-   c:\programmi\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06   254696   ----a-w-   c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"IAANTMON"=2 (0x2)
"hpqwmiex"=2 (0x2)
"SkypeUpdate"=2 (0x2)
"ServUpdater"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [19/12/2011 18.59.20 18056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [19/12/2011 18.59.22 494816]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [19/12/2011 18.59.22 31704]
S4 ServUpdater;Serv Updater;c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe [21/02/2012 21.24.44 156160]
S4 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [31/01/2012 15.09.34 158856]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-926492609-725345543-1003Core.job
- c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-01-12 18:40]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-926492609-725345543-1003UA.job
- c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-01-12 18:40]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{6F4F5397-AB36-4E4A-900B-0DC12402A49F}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{91F320B5-7BFC-4D9E-83F6-94C883DDACA3}: NameServer = 176.31.229.24,176.31.229.25
FF - ProfilePath - c:\documents and settings\Loredana\Dati applicazioni\Mozilla\Firefox\Profiles\h8qeki6j.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-iPhoto Plus 4 - c:\windows\unin0410.exe
AddRemove-L&H Power Translator Pro 7.0 - c:\windows\ISUN0410.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-08 11:15
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD12 rev.01.0 -> Harddisk0\DR0 -> \Device\Ide\iaStor0
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86B11555]<<
c:\docume~1\Loredana\IMPOST~1\Temp\catchme.sys 
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x86b177b0]; MOV EAX, [0x86b1782c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX;  }
1 ntkrnlpa!IofCallDriver[0x804EE120] -> \Device\Harddisk0\DR0[0x86B22AB8]
3 CLASSPNP[0xF7607FD7] -> ntkrnlpa!IofCallDriver[0x804EE120] -> \Device\0000007f[0x86A9F910]
5 ACPI[0xF749E620] -> ntkrnlpa!IofCallDriver[0x804EE120] -> [0x86AA7030]
\Driver\iaStor[0x86157D30] -> IRP_MJ_CREATE -> 0x86B11555
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x132; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP;  }
detected disk devices:
\Device\Ide\IAAStorageDevice-0 -> \??\IDE#DiskWDC_WD1200BEVS-60UST0___________________01.01A01#4&d041eba&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
sectors 234441646 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(904)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'lsass.exe'(964)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'csrss.exe'(876)
c:\windows\system32\cmdcsr.dll
.
Ora fine scansione: 2012-03-08  11:18:39
ComboFix-quarantined-files.txt  2012-03-08 10:18
.
Pre-Run: 84.339.810.304 byte disponibili
Post-Run: 84.430.176.256 byte disponibili
.
- - End Of File - - AFDE5C47006CE4088040716BBAA0712D
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 08/03/12 13:44

Come immaginavo, MBR infetto.

Disinstalla Wise Registry Cleaner.
Quindi;

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

KillAll::
File::
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe

Folder::
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater

Driver::
ServUpdater


● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

Immagine

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi

Al termine, Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/ ... killer.exe
● posiziona il file scaricato sul Desktop
● clicca due volte sul file TDSSKiller.exe per avviare l'applicazione
● successivamente premi il pulsante Start scan

Nota - riguardo al programma:
● non cliccare sul pulsante Stop scan per nessun motivo, la scansione si interromperebbe

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure: clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip: clicca quindi su Continua
● se non viene rilevato nulla, chiudi semplicemente il programma al termine della scansione

Una volta terminata la scansione, si presenterà una di queste due opzioni:
non è necessario il riavvio del sistema: allega il Report situato nel Disco Locale C:\, di nome TDSSKiller.[Version]_[Date]_[Time]_log.txt
● è necessario riavviare il sistema: clicca su Riavvia ora, infine allega il risultato della scansione (si trova nello stesso percorso menzionato poco fa')
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 08/03/12 14:47

come faccio a Disinstallare Wise Registry Cleaner? non capisco cosa sia..
ps: grazie per l'aiuto :)
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 08/03/12 14:49

è un programma, lo trovi in Pannello di Controllo/Installazione Applicazioni e Disinstalla.
Altrimenti, Start tutti i programmi, individui la cartella Wise Registry Cleaner e lo Disinstalli.

Se non ti riesce fa nulla, prosegui con le altre indicazioni.

Ciao
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 08/03/12 15:45

Chiedevo..proprio perchè non lo trovavo ne in "installazioni e applicazioni" ne in programmi.
Comunque ho eseguito Combofix seguendo le tue procedure, ed ecco il log:
Codice: Seleziona tutto
ComboFix 12-03-07.05 - Loredana 08/03/2012  15.17.57.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.1015.622 [GMT 1:00]
Eseguito da: c:\documents and settings\Loredana\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Loredana\Desktop\CFScript.txt
AV: COMODO Antivirus *Disabled/Updated* {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
FW: COMODO Firewall *Disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
FILE ::
"c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe"
.
.
(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\7z.dll
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\AppLib.Zip.dll
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.InstallLog
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.InstallState
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\settings.ini
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\ServUpdater\settings\settings.ini
.
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
(((((((((((((((((((((((((((((((((((((((   Driver/Servizi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SERVUPDATER
-------\Service_ServUpdater
.
.
(((((((((((((((((((((((((   Files Creati Da 2012-02-08 al 2012-03-08  )))))))))))))))))))))))))))))))))))
.
.
2012-03-05 15:46 . 2012-03-05 15:46   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\Malwarebytes
2012-03-05 15:45 . 2012-03-05 15:45   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-03-05 15:45 . 2012-03-05 15:45   --------   d-----w-   c:\programmi\Malwarebytes' Anti-Malware
2012-03-05 15:45 . 2011-12-10 14:24   20464   ----a-w-   c:\windows\system32\drivers\mbam.sys
2012-03-05 13:00 . 2012-03-05 13:00   --------   dc-h--w-   c:\windows\ie8
2012-03-05 10:42 . 2012-03-05 10:42   388096   ----a-r-   c:\documents and settings\Loredana\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-05 10:42 . 2012-03-05 10:42   --------   d-----w-   c:\programmi\Trend Micro
2012-03-02 18:03 . 2012-03-02 18:03   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\HP
2012-03-02 18:02 . 2012-03-02 18:02   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\HP
2012-03-02 18:00 . 2012-03-02 18:00   --------   d-----w-   c:\programmi\File comuni\HP
2012-03-02 17:57 . 2006-06-03 20:29   48640   ----a-w-   c:\windows\system32\hpzll4pi.dll
2012-03-02 17:57 . 2006-06-03 20:29   76288   ----a-w-   c:\windows\system32\Spool\prtprocs\w32x86\hpzpp4pi.dll
2012-03-02 17:57 . 2006-03-03 20:03   282680   ----a-w-   c:\windows\system32\HPZidr12.dll
2012-03-02 17:57 . 2006-03-03 20:03   65536   ----a-w-   c:\windows\system32\HPZinw12.exe
2012-03-02 17:57 . 2006-03-03 20:03   69632   ----a-w-   c:\windows\system32\HPZipm12.exe
2012-03-02 17:57 . 2006-03-03 20:02   204800   ----a-w-   c:\windows\system32\HPZipr12.dll
2012-03-02 17:57 . 2006-03-03 20:02   94208   ----a-w-   c:\windows\system32\HPZipt12.dll
2012-03-02 17:57 . 2006-03-03 20:02   57344   ----a-w-   c:\windows\system32\HPZisn12.dll
2012-03-02 17:56 . 1998-10-29 15:45   306688   ----a-w-   c:\windows\IsUninst.exe
2012-03-02 17:55 . 2008-04-13 10:47   25856   -c--a-w-   c:\windows\system32\dllcache\usbprint.sys
2012-03-02 17:55 . 2008-04-13 10:47   25856   ----a-w-   c:\windows\system32\drivers\usbprint.sys
2012-02-26 14:40 . 2012-02-26 14:40   --------   d-----w-   c:\programmi\File comuni\Skype
2012-02-26 14:40 . 2012-03-01 13:04   --------   d-----r-   c:\programmi\Skype
2012-02-21 20:24 . 2012-02-22 17:08   --------   d-----w-   c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\PosService
2012-02-21 16:21 . 2012-02-21 16:21   --------   d-----r-   c:\documents and settings\LocalService\Preferiti
2012-02-21 11:38 . 2004-08-19 13:39   221184   ----a-w-   c:\windows\system32\wmpns.dll
2012-02-20 18:48 . 2012-02-20 18:48   --------   d-----w-   c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Adobe
2012-02-17 09:30 . 2012-02-17 10:37   --------   d-----w-   c:\documents and settings\Loredana\Dati applicazioni\Wise Registry Cleaner
2012-02-17 09:16 . 2012-02-17 09:16   --------   d-sh--w-   c:\documents and settings\Loredana\IECompatCache
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-15 13:53 . 2012-01-12 17:44   414368   ----a-w-   c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-13 17:27 . 2012-01-13 17:27   73728   ----a-w-   c:\windows\system32\javacpl.cpl
2012-01-13 17:27 . 2012-01-13 17:27   472808   ----a-w-   c:\windows\system32\deployJava1.dll
2011-12-19 17:59 . 2011-12-19 17:59   97760   ----a-w-   c:\windows\system32\drivers\inspect.sys
2011-12-19 17:59 . 2011-12-19 17:59   494816   ----a-w-   c:\windows\system32\drivers\cmdGuard.sys
2011-12-19 17:59 . 2011-12-19 17:59   31704   ----a-w-   c:\windows\system32\drivers\cmdhlp.sys
2011-12-19 17:59 . 2011-12-19 17:59   18056   ----a-w-   c:\windows\system32\drivers\cmderd.sys
2011-12-19 17:58 . 2011-12-19 17:58   33984   ----a-w-   c:\windows\system32\cmdcsr.dll
2011-12-19 17:58 . 2011-12-19 17:58   301224   ----a-w-   c:\windows\system32\guard32.dll
2012-02-17 14:45 . 2012-01-14 21:36   134104   ----a-w-   c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-03-08_10.15.43   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-08 14:05 . 2012-03-08 14:05   2080              c:\windows\SoftwareDistribution\EventCache\{6C0A6217-484E-4A7E-89F6-CF38198AAE32}.bin
.
(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-10-10 1871872]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-18 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-18 137752]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"SynTPStart"="c:\programmi\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cfp.exe" [2011-12-19 6676808]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38   34672   ----a-w-   c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-01-12 18:40   136176   ----atw-   c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 01:41   49152   ----a-w-   c:\programmi\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
2007-03-01 11:18   472776   ----a-w-   c:\programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2007-10-03 13:44   178712   ----a-w-   c:\programmi\Intel\Intel Matrix Storage Manager\IAAnotif.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
2007-11-06 14:34   177456   ----a-w-   c:\programmi\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-02-15 12:35   17146504   ----a-r-   c:\programmi\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06   254696   ----a-w-   c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"IAANTMON"=2 (0x2)
"hpqwmiex"=2 (0x2)
"SkypeUpdate"=2 (0x2)
"ServUpdater"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [19/12/2011 18.59.20 18056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [19/12/2011 18.59.22 494816]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [19/12/2011 18.59.22 31704]
S4 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [31/01/2012 15.09.34 158856]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-926492609-725345543-1003Core.job
- c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-01-12 18:40]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-926492609-725345543-1003UA.job
- c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2012-01-12 18:40]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{6F4F5397-AB36-4E4A-900B-0DC12402A49F}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{91F320B5-7BFC-4D9E-83F6-94C883DDACA3}: NameServer = 176.31.229.24,176.31.229.25
FF - ProfilePath - c:\documents and settings\Loredana\Dati applicazioni\Mozilla\Firefox\Profiles\h8qeki6j.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-08 15:28
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD12 rev.01.0 -> Harddisk0\DR0 -> \Device\Ide\iaStor0
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x864A9555]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x864af7b0]; MOV EAX, [0x864af82c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX;  }
1 ntkrnlpa!IofCallDriver[0x804EE120] -> \Device\Harddisk0\DR0[0x8651AAB8]
3 CLASSPNP[0xF75C7FD7] -> ntkrnlpa!IofCallDriver[0x804EE120] -> \Device\00000080[0x8651B910]
5 ACPI[0xF745E620] -> ntkrnlpa!IofCallDriver[0x804EE120] -> [0x864BA030]
\Driver\iaStor[0x864F96C0] -> IRP_MJ_CREATE -> 0x864A9555
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x132; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP;  }
detected disk devices:
\Device\Ide\IAAStorageDevice-0 -> \??\IDE#DiskWDC_WD1200BEVS-60UST0___________________01.01A01#4&d041eba&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
sectors 234441646 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(908)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'explorer.exe'(2548)
c:\windows\system32\guard32.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
- - - - - - - > 'csrss.exe'(880)
c:\windows\system32\cmdcsr.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\COMODO\COMODO Internet Security\cmdagent.exe
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\programmi\Synaptics\SynTP\SynTPEnh.exe
.
**************************************************************************
.
Ora fine scansione: 2012-03-08  15:34:00 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2012-03-08 14:33
ComboFix2.txt  2012-03-08 10:18
.
Pre-Run: 84.416.606.208 byte disponibili
Post-Run: 84.343.894.016 byte disponibili
.
- - End Of File - - F125DF09DAF4AAC0973402D86F418FCB


e dopo Kaspersky TDSS Killer:
Codice: Seleziona tutto
15:43:12.0203 3292   TDSS rootkit removing tool 2.7.19.0 Mar  5 2012 11:23:39
15:43:12.0234 3292   ============================================================
15:43:12.0234 3292   Current date / time: 2012/03/08 15:43:12.0234
15:43:12.0234 3292   SystemInfo:
15:43:12.0234 3292   
15:43:12.0234 3292   OS Version: 5.1.2600 ServicePack: 3.0
15:43:12.0234 3292   Product type: Workstation
15:43:12.0234 3292   ComputerName: HP-9ECEA1FBC4B6
15:43:12.0234 3292   UserName: Loredana
15:43:12.0234 3292   Windows directory: C:\WINDOWS
15:43:12.0234 3292   System windows directory: C:\WINDOWS
15:43:12.0234 3292   Processor architecture: Intel x86
15:43:12.0234 3292   Number of processors: 1
15:43:12.0234 3292   Page size: 0x1000
15:43:12.0234 3292   Boot type: Normal boot
15:43:12.0234 3292   ============================================================
15:43:12.0718 3292   Drive \Device\Harddisk0\DR0 - Size: 0x1BF2976000 (111.79 Gb), SectorSize: 0x200, Cylinders: 0x3C91, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xF0, Type 'K0', Flags 0x00000050
15:43:12.0718 3292   \Device\Harddisk0\DR0:
15:43:12.0718 3292   MBR used
15:43:12.0718 3292   \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xDF933D1
15:43:12.0765 3292   Initialize success
15:43:12.0765 3292   ============================================================
15:43:15.0953 3300   ============================================================
15:43:15.0953 3300   Scan started
15:43:15.0953 3300   Mode: Manual;
15:43:15.0953 3300   ============================================================
15:43:16.0468 3300   Abiosdsk - ok
15:43:16.0468 3300   abp480n5 - ok
15:43:16.0546 3300   ACPI            (d766e636187b8f240bbfbabcd51eb2c6) C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:43:16.0546 3300   ACPI - ok
15:43:16.0578 3300   ACPIEC          (49ac5cd87fbdda62f3e25190019e7627) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
15:43:16.0578 3300   ACPIEC - ok
15:43:16.0593 3300   adpu160m - ok
15:43:16.0640 3300   aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
15:43:16.0640 3300   aec - ok
15:43:16.0703 3300   AFD             (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
15:43:16.0718 3300   AFD - ok
15:43:16.0734 3300   Aha154x - ok
15:43:16.0750 3300   aic78u2 - ok
15:43:16.0750 3300   aic78xx - ok
15:43:16.0781 3300   AliIde - ok
15:43:16.0796 3300   amsint - ok
15:43:16.0812 3300   asc - ok
15:43:16.0828 3300   asc3350p - ok
15:43:16.0843 3300   asc3550 - ok
15:43:16.0890 3300   AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
15:43:16.0890 3300   AsyncMac - ok
15:43:16.0921 3300   atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
15:43:16.0921 3300   atapi - ok
15:43:16.0937 3300   Atdisk - ok
15:43:16.0953 3300   Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
15:43:16.0953 3300   Atmarpc - ok
15:43:16.0984 3300   audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
15:43:16.0984 3300   audstub - ok
15:43:17.0078 3300   BCM43XX         (9208c78bd9283f79a30252ad954c77a2) C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
15:43:17.0125 3300   BCM43XX - ok
15:43:17.0203 3300   BCMWLNPF        (8c31c9db77ed6143ad09dc5fd2c9d9cc) C:\WINDOWS\system32\drivers\bcmwlnpf.sys
15:43:17.0203 3300   BCMWLNPF - ok
15:43:17.0250 3300   Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
15:43:17.0250 3300   Beep - ok
15:43:17.0265 3300   catchme - ok
15:43:17.0312 3300   cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
15:43:17.0312 3300   cbidf2k - ok
15:43:17.0359 3300   CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
15:43:17.0359 3300   CCDECODE - ok
15:43:17.0375 3300   cd20xrnt - ok
15:43:17.0406 3300   Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
15:43:17.0406 3300   Cdaudio - ok
15:43:17.0468 3300   Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
15:43:17.0484 3300   Cdfs - ok
15:43:17.0531 3300   Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
15:43:17.0531 3300   Cdrom - ok
15:43:17.0546 3300   Changer - ok
15:43:17.0640 3300   CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
15:43:17.0640 3300   CmBatt - ok
15:43:17.0671 3300   cmderd          (6fc2b79561ba089cb5a271c0ab9192d9) C:\WINDOWS\system32\DRIVERS\cmderd.sys
15:43:17.0671 3300   cmderd - ok
15:43:17.0734 3300   cmdGuard        (a2c97b4f0db351930d58f467948dc51d) C:\WINDOWS\system32\DRIVERS\cmdguard.sys
15:43:17.0734 3300   cmdGuard - ok
15:43:17.0796 3300   cmdHlp          (a736f2263310fee1799de88cb50c1023) C:\WINDOWS\system32\DRIVERS\cmdhlp.sys
15:43:17.0796 3300   cmdHlp - ok
15:43:17.0796 3300   CmdIde - ok
15:43:17.0812 3300   Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
15:43:17.0812 3300   Compbatt - ok
15:43:17.0843 3300   Cpqarray - ok
15:43:17.0859 3300   dac2w2k - ok
15:43:17.0875 3300   dac960nt - ok
15:43:17.0890 3300   Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
15:43:17.0906 3300   Disk - ok
15:43:17.0968 3300   dmboot          (82bc125a8ed33f5f0e75f2aac1065323) C:\WINDOWS\system32\drivers\dmboot.sys
15:43:18.0000 3300   dmboot - ok
15:43:18.0015 3300   dmio            (e959ddc0ea7ac11ee5e5602e2a364310) C:\WINDOWS\system32\drivers\dmio.sys
15:43:18.0031 3300   dmio - ok
15:43:18.0062 3300   dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
15:43:18.0062 3300   dmload - ok
15:43:18.0109 3300   DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
15:43:18.0109 3300   DMusic - ok
15:43:18.0125 3300   dpti2o - ok
15:43:18.0156 3300   drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
15:43:18.0156 3300   drmkaud - ok
15:43:18.0203 3300   E100B           (5c940a174dfb2c42b9f6ba6edc2baa0b) C:\WINDOWS\system32\DRIVERS\e100b325.sys
15:43:18.0218 3300   E100B - ok
15:43:18.0281 3300   Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
15:43:18.0281 3300   Fastfat - ok
15:43:18.0343 3300   Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
15:43:18.0343 3300   Fdc - ok
15:43:18.0359 3300   Fips            (2cfea3326981a18c6baf2bd9be76225b) C:\WINDOWS\system32\drivers\Fips.sys
15:43:18.0375 3300   Fips - ok
15:43:18.0390 3300   Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
15:43:18.0390 3300   Flpydisk - ok
15:43:18.0453 3300   FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
15:43:18.0453 3300   FltMgr - ok
15:43:18.0515 3300   Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
15:43:18.0515 3300   Fs_Rec - ok
15:43:18.0531 3300   Ftdisk          (f3269a6ee547ea87b949a1cea4816b38) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
15:43:18.0546 3300   Ftdisk - ok
15:43:18.0593 3300   Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
15:43:18.0593 3300   Gpc - ok
15:43:18.0640 3300   HBtnKey         (de15777902a5d9121857d155873a1d1b) C:\WINDOWS\system32\DRIVERS\cpqbttn.sys
15:43:18.0640 3300   HBtnKey - ok
15:43:18.0718 3300   HdAudAddService (47f106735bad58a4d4a05c4a38315cd9) C:\WINDOWS\system32\drivers\CHDAud.sys
15:43:18.0734 3300   HdAudAddService - ok
15:43:18.0765 3300   HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
15:43:18.0781 3300   HDAudBus - ok
15:43:18.0812 3300   hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
15:43:18.0812 3300   hidusb - ok
15:43:18.0843 3300   hpn - ok
15:43:18.0859 3300   HpqKbFiltr      (35956140e686d53bf676cf0c778880fc) C:\WINDOWS\system32\DRIVERS\HpqKbFiltr.sys
15:43:18.0859 3300   HpqKbFiltr - ok
15:43:18.0937 3300   HSFHWAZL        (6a5c4732d6803f84e2987edd8e4359ce) C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys
15:43:18.0937 3300   HSFHWAZL - ok
15:43:19.0000 3300   HSF_DPV         (21c31273c6cc4826e74be8ae3b09d4a8) C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
15:43:19.0031 3300   HSF_DPV - ok
15:43:19.0093 3300   HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
15:43:19.0093 3300   HTTP - ok
15:43:19.0109 3300   i2omgmt - ok
15:43:19.0125 3300   i2omp - ok
15:43:19.0140 3300   i8042prt        (610726e28af55b95043c5c35a727e320) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
15:43:19.0140 3300   i8042prt - ok
15:43:19.0437 3300   ialm            (8b998e6c0aebbaecd6da33df947695d3) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
15:43:19.0734 3300   ialm - ok
15:43:19.0796 3300   iaStor          (e5a0034847537eaee3c00349d5c34c5f) C:\WINDOWS\system32\DRIVERS\iaStor.sys
15:43:19.0796 3300   iaStor - ok
15:43:19.0859 3300   Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
15:43:19.0859 3300   Imapi - ok
15:43:19.0875 3300   InCDFs - ok
15:43:19.0890 3300   InCDPass - ok
15:43:19.0906 3300   InCDRm - ok
15:43:19.0921 3300   ini910u - ok
15:43:19.0953 3300   Inspect         (456003490faa4a2361ceacbfb6409172) C:\WINDOWS\system32\DRIVERS\inspect.sys
15:43:19.0953 3300   Inspect - ok
15:43:20.0015 3300   IntelIde        (027fe9b28fb0f861c181d25923b31e78) C:\WINDOWS\system32\DRIVERS\intelide.sys
15:43:20.0015 3300   IntelIde - ok
15:43:20.0046 3300   intelppm        (ebd830a0970c438047006a49c23e287f) C:\WINDOWS\system32\DRIVERS\intelppm.sys
15:43:20.0046 3300   intelppm - ok
15:43:20.0078 3300   Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
15:43:20.0078 3300   Ip6Fw - ok
15:43:20.0109 3300   IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
15:43:20.0109 3300   IpFilterDriver - ok
15:43:20.0125 3300   IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
15:43:20.0125 3300   IpInIp - ok
15:43:20.0156 3300   IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
15:43:20.0171 3300   IpNat - ok
15:43:20.0187 3300   IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
15:43:20.0187 3300   IPSec - ok
15:43:20.0218 3300   IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
15:43:20.0218 3300   IRENUM - ok
15:43:20.0234 3300   isapnp          (0953594beb81cc72fcc62d37921b25a6) C:\WINDOWS\system32\DRIVERS\isapnp.sys
15:43:20.0234 3300   isapnp - ok
15:43:20.0281 3300   Kbdclass        (28b6eace513ca7eaba3b809ad4bc274d) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
15:43:20.0281 3300   Kbdclass - ok
15:43:20.0296 3300   kbdhid          (4c61c226bdda2ef1672b2c5f4e56625e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
15:43:20.0296 3300   kbdhid - ok
15:43:20.0406 3300   kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
15:43:20.0406 3300   kmixer - ok
15:43:20.0421 3300   KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
15:43:20.0421 3300   KSecDD - ok
15:43:20.0453 3300   lbrtfdc - ok
15:43:20.0500 3300   mdmxsdk         (0cea2d0d3fa284b85ed5b68365114f76) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
15:43:20.0515 3300   mdmxsdk - ok
15:43:20.0546 3300   mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
15:43:20.0546 3300   mnmdd - ok
15:43:20.0593 3300   Modem           (8cb6636806d76b85fafaee94d75f5129) C:\WINDOWS\system32\drivers\Modem.sys
15:43:20.0593 3300   Modem - ok
15:43:20.0609 3300   Mouclass        (e904ebed608055a2bfb824c07f59766c) C:\WINDOWS\system32\DRIVERS\mouclass.sys
15:43:20.0609 3300   Mouclass - ok
15:43:20.0640 3300   mouhid          (d7662f0cf5b77bbbe3202716f5bd5318) C:\WINDOWS\system32\DRIVERS\mouhid.sys
15:43:20.0640 3300   mouhid - ok
15:43:20.0656 3300   MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
15:43:20.0656 3300   MountMgr - ok
15:43:20.0671 3300   mraid35x - ok
15:43:20.0687 3300   MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
15:43:20.0687 3300   MRxDAV - ok
15:43:20.0718 3300   MRxSmb          (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
15:43:20.0734 3300   MRxSmb - ok
15:43:20.0750 3300   Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
15:43:20.0750 3300   Msfs - ok
15:43:20.0781 3300   MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
15:43:20.0781 3300   MSKSSRV - ok
15:43:20.0796 3300   MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
15:43:20.0796 3300   MSPCLOCK - ok
15:43:20.0812 3300   MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
15:43:20.0812 3300   MSPQM - ok
15:43:20.0859 3300   mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
15:43:20.0859 3300   mssmbios - ok
15:43:20.0890 3300   MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
15:43:20.0890 3300   MSTEE - ok
15:43:20.0906 3300   Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
15:43:20.0921 3300   Mup - ok
15:43:20.0937 3300   NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
15:43:20.0937 3300   NABTSFEC - ok
15:43:21.0000 3300   NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
15:43:21.0000 3300   NDIS - ok
15:43:21.0015 3300   NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
15:43:21.0015 3300   NdisIP - ok
15:43:21.0046 3300   NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
15:43:21.0046 3300   NdisTapi - ok
15:43:21.0062 3300   Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
15:43:21.0078 3300   Ndisuio - ok
15:43:21.0093 3300   NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
15:43:21.0093 3300   NdisWan - ok
15:43:21.0109 3300   NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
15:43:21.0109 3300   NDProxy - ok
15:43:21.0109 3300   NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
15:43:21.0109 3300   NetBIOS - ok
15:43:21.0140 3300   NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
15:43:21.0140 3300   NetBT - ok
15:43:21.0187 3300   Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
15:43:21.0187 3300   Npfs - ok
15:43:21.0218 3300   Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
15:43:21.0234 3300   Ntfs - ok
15:43:21.0281 3300   Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
15:43:21.0281 3300   Null - ok
15:43:21.0296 3300   NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
15:43:21.0296 3300   NwlnkFlt - ok
15:43:21.0312 3300   NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
15:43:21.0328 3300   NwlnkFwd - ok
15:43:21.0375 3300   Parport         (4e9408a178b2d955871c2cdd278de3c3) C:\WINDOWS\system32\drivers\Parport.sys
15:43:21.0406 3300   Parport - ok
15:43:21.0421 3300   PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
15:43:21.0421 3300   PartMgr - ok
15:43:21.0437 3300   ParVdm          (0dabef655a444cb1e193626fb1d24b9f) C:\WINDOWS\system32\drivers\ParVdm.sys
15:43:21.0437 3300   ParVdm - ok
15:43:21.0453 3300   PCI             (f40a46892afebb0314536b849d57c11e) C:\WINDOWS\system32\DRIVERS\pci.sys
15:43:21.0453 3300   PCI - ok
15:43:21.0500 3300   PCIDump - ok
15:43:21.0531 3300   PCIIde          (b2df00d650fd6c4ee781740ed3c8e67f) C:\WINDOWS\system32\DRIVERS\pciide.sys
15:43:21.0531 3300   PCIIde - ok
15:43:21.0546 3300   Pcmcia          (815c50f2b1d1562800bdce8be895000e) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
15:43:21.0546 3300   Pcmcia - ok
15:43:21.0562 3300   PDCOMP - ok
15:43:21.0578 3300   PDFRAME - ok
15:43:21.0593 3300   PDRELI - ok
15:43:21.0609 3300   PDRFRAME - ok
15:43:21.0625 3300   perc2 - ok
15:43:21.0640 3300   perc2hib - ok
15:43:21.0687 3300   PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
15:43:21.0687 3300   PptpMiniport - ok
15:43:21.0718 3300   PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
15:43:21.0718 3300   PSched - ok
15:43:21.0750 3300   Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
15:43:21.0750 3300   Ptilink - ok
15:43:21.0765 3300   ql1080 - ok
15:43:21.0781 3300   Ql10wnt - ok
15:43:21.0796 3300   ql12160 - ok
15:43:21.0812 3300   ql1240 - ok
15:43:21.0828 3300   ql1280 - ok
15:43:21.0843 3300   RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
15:43:21.0843 3300   RasAcd - ok
15:43:21.0875 3300   Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
15:43:21.0875 3300   Rasl2tp - ok
15:43:21.0890 3300   RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
15:43:21.0890 3300   RasPppoe - ok
15:43:21.0906 3300   Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
15:43:21.0906 3300   Raspti - ok
15:43:21.0937 3300   Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
15:43:21.0937 3300   Rdbss - ok
15:43:21.0953 3300   RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
15:43:21.0953 3300   RDPCDD - ok
15:43:21.0984 3300   rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
15:43:21.0984 3300   rdpdr - ok
15:43:22.0046 3300   RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
15:43:22.0062 3300   RDPWD - ok
15:43:22.0093 3300   redbook         (393fc252593323b624b230eca6b85e63) C:\WINDOWS\system32\DRIVERS\redbook.sys
15:43:22.0093 3300   redbook - ok
15:43:22.0171 3300   Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
15:43:22.0171 3300   Secdrv - ok
15:43:22.0218 3300   Serial          (fdbd9d64e2e03270021d424f0dccf79d) C:\WINDOWS\system32\drivers\Serial.sys
15:43:22.0218 3300   Serial - ok
15:43:22.0250 3300   Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
15:43:22.0250 3300   Sfloppy - ok
15:43:22.0265 3300   Simbad - ok
15:43:22.0328 3300   SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
15:43:22.0328 3300   SLIP - ok
15:43:22.0343 3300   Sparrow - ok
15:43:22.0375 3300   splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
15:43:22.0375 3300   splitter - ok
15:43:22.0390 3300   sr              (618718cae288bf7cbd8fcbab2577d932) C:\WINDOWS\system32\DRIVERS\sr.sys
15:43:22.0406 3300   sr - ok
15:43:22.0468 3300   Srv             (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
15:43:22.0468 3300   Srv - ok
15:43:22.0515 3300   streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
15:43:22.0515 3300   streamip - ok
15:43:22.0562 3300   swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
15:43:22.0562 3300   swenum - ok
15:43:22.0578 3300   swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
15:43:22.0578 3300   swmidi - ok
15:43:22.0609 3300   symc810 - ok
15:43:22.0625 3300   symc8xx - ok
15:43:22.0640 3300   sym_hi - ok
15:43:22.0656 3300   sym_u3 - ok
15:43:22.0718 3300   SynTP           (0f332c0ba9b968ebc8cbb906416f8597) C:\WINDOWS\system32\DRIVERS\SynTP.sys
15:43:22.0718 3300   SynTP - ok
15:43:22.0734 3300   sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
15:43:22.0734 3300   sysaudio - ok
15:43:22.0781 3300   Tcpip           (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
15:43:22.0781 3300   Tcpip - ok
15:43:22.0812 3300   TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
15:43:22.0812 3300   TDPIPE - ok
15:43:22.0828 3300   TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
15:43:22.0828 3300   TDTCP - ok
15:43:22.0875 3300   TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
15:43:22.0875 3300   TermDD - ok
15:43:22.0890 3300   TosIde - ok
15:43:22.0937 3300   Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
15:43:22.0953 3300   Udfs - ok
15:43:22.0953 3300   UIUSys - ok
15:43:22.0968 3300   ultra - ok
15:43:23.0031 3300   Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
15:43:23.0046 3300   Update - ok
15:43:23.0093 3300   usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
15:43:23.0093 3300   usbaudio - ok
15:43:23.0156 3300   usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
15:43:23.0156 3300   usbccgp - ok
15:43:23.0187 3300   usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
15:43:23.0187 3300   usbehci - ok
15:43:23.0218 3300   usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
15:43:23.0218 3300   usbhub - ok
15:43:23.0250 3300   usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
15:43:23.0250 3300   usbprint - ok
15:43:23.0281 3300   USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
15:43:23.0281 3300   USBSTOR - ok
15:43:23.0312 3300   usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
15:43:23.0312 3300   usbuhci - ok
15:43:23.0375 3300   usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
15:43:23.0375 3300   usbvideo - ok
15:43:23.0421 3300   VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
15:43:23.0421 3300   VgaSave - ok
15:43:23.0453 3300   ViaIde - ok
15:43:23.0500 3300   VolSnap         (e46c1b5a56da7da603d09dfcc79ec59e) C:\WINDOWS\system32\drivers\VolSnap.sys
15:43:23.0500 3300   VolSnap - ok
15:43:23.0531 3300   Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
15:43:23.0531 3300   Wanarp - ok
15:43:23.0609 3300   Wdf01000        (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
15:43:23.0625 3300   Wdf01000 - ok
15:43:23.0640 3300   WDICA - ok
15:43:23.0656 3300   wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
15:43:23.0656 3300   wdmaud - ok
15:43:23.0750 3300   winachsf        (307d248f97835b6879bdd361086924fe) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
15:43:23.0781 3300   winachsf - ok
15:43:23.0859 3300   WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
15:43:23.0859 3300   WmiAcpi - ok
15:43:23.0937 3300   WpdUsb          (d4162c1d8fe1de8f1e6ef9ba4323d520) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
15:43:23.0937 3300   WpdUsb - ok
15:43:24.0000 3300   WS2IFSL         (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
15:43:24.0000 3300   WS2IFSL - ok
15:43:24.0046 3300   WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
15:43:24.0046 3300   WSTCODEC - ok
15:43:24.0093 3300   WudfPf          (443f0a35cb3be5d176053da39157a898) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
15:43:24.0093 3300   WudfPf - ok
15:43:24.0125 3300   WudfRd          (e12d4c486d7eb4e0961c27558dc25af7) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
15:43:24.0140 3300   WudfRd - ok
15:43:24.0171 3300   MBR (0x1B8)     (014694195d3f5457f8f25bc861a2c1ef) \Device\Harddisk0\DR0
15:43:24.0203 3300   \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - infected
15:43:24.0203 3300   \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
15:43:24.0203 3300   Boot (0x1200)   (601d29e0e37a858cb2e179dd6884c439) \Device\Harddisk0\DR0\Partition0
15:43:24.0203 3300   \Device\Harddisk0\DR0\Partition0 - ok
15:43:24.0218 3300   ============================================================
15:43:24.0218 3300   Scan finished
15:43:24.0218 3300   ============================================================
15:43:24.0218 3880   Detected object count: 1
15:43:24.0218 3880   Actual detected object count: 1
15:43:31.0718 3880   \Device\Harddisk0\DR0\# - copied to quarantine
15:43:31.0718 3880   \Device\Harddisk0\DR0 - copied to quarantine
15:43:31.0718 3880   \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine
15:43:31.0718 3880   \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine
15:43:31.0718 3880   \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine
15:43:31.0734 3880   \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine
15:43:31.0734 3880   \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine
15:43:31.0734 3880   \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine
15:43:31.0734 3880   \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine
15:43:31.0750 3880   \Device\Harddisk0\DR0\TDLFS\drv64 - copied to quarantine
15:43:31.0750 3880   \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine
15:43:31.0750 3880   \Device\Harddisk0\DR0\TDLFS\drv32 - copied to quarantine
15:43:31.0750 3880   \Device\Harddisk0\DR0\TDLFS\nwkx - copied to quarantine
15:43:31.0765 3880   \Device\Harddisk0\DR0\TDLFS\wmdt - copied to quarantine
15:43:31.0765 3880   \Device\Harddisk0\DR0\TDLFS\socks.dll - copied to quarantine
15:43:31.0765 3880   \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - will be cured on reboot
15:43:31.0765 3880   \Device\Harddisk0\DR0 - ok
15:43:31.0781 3880   \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Cure
15:44:04.0968 3284   Deinitialize success
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 08/03/12 18:46

Il PC sembra infetto da una brutta bestia.

Riavvia il PC, esegui nuovamente TDSS Killer, ed allega il nuovo log.

Dimenticavo: cestina queste due cartelle:
c:\documents and settings\Loredana\Impostazioni locali\Dati applicazioni\PosService
c:\documents and settings\Loredana\Dati applicazioni\Wise Registry Cleaner
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 08/03/12 19:11

Le due cartelle le ho cancellate, e ho riavviato il programma, non mi ha dato nessun'errore adesso. Allego il log:

Codice: Seleziona tutto
19:11:17.0250 3036   TDSS rootkit removing tool 2.7.19.0 Mar  5 2012 11:23:39
19:11:17.0343 3036   ============================================================
19:11:17.0343 3036   Current date / time: 2012/03/08 19:11:17.0343
19:11:17.0343 3036   SystemInfo:
19:11:17.0343 3036   
19:11:17.0343 3036   OS Version: 5.1.2600 ServicePack: 3.0
19:11:17.0343 3036   Product type: Workstation
19:11:17.0343 3036   ComputerName: HP-9ECEA1FBC4B6
19:11:17.0343 3036   UserName: Loredana
19:11:17.0343 3036   Windows directory: C:\WINDOWS
19:11:17.0343 3036   System windows directory: C:\WINDOWS
19:11:17.0343 3036   Processor architecture: Intel x86
19:11:17.0343 3036   Number of processors: 1
19:11:17.0343 3036   Page size: 0x1000
19:11:17.0343 3036   Boot type: Normal boot
19:11:17.0343 3036   ============================================================
19:11:18.0109 3036   Drive \Device\Harddisk0\DR0 - Size: 0x1BF2976000 (111.79 Gb), SectorSize: 0x200, Cylinders: 0x3C91, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xF0, Type 'K0', Flags 0x00000050
19:11:18.0109 3036   \Device\Harddisk0\DR0:
19:11:18.0109 3036   MBR used
19:11:18.0109 3036   \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xDF933D1
19:11:18.0125 3036   Initialize success
19:11:18.0125 3036   ============================================================
19:11:20.0468 3052   ============================================================
19:11:20.0468 3052   Scan started
19:11:20.0468 3052   Mode: Manual;
19:11:20.0468 3052   ============================================================
19:11:20.0687 3052   Abiosdsk - ok
19:11:20.0703 3052   abp480n5 - ok
19:11:20.0796 3052   ACPI            (d766e636187b8f240bbfbabcd51eb2c6) C:\WINDOWS\system32\DRIVERS\ACPI.sys
19:11:20.0796 3052   ACPI - ok
19:11:20.0828 3052   ACPIEC          (49ac5cd87fbdda62f3e25190019e7627) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
19:11:20.0828 3052   ACPIEC - ok
19:11:20.0843 3052   adpu160m - ok
19:11:20.0890 3052   aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
19:11:20.0890 3052   aec - ok
19:11:20.0968 3052   AFD             (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
19:11:20.0968 3052   AFD - ok
19:11:20.0984 3052   Aha154x - ok
19:11:21.0000 3052   aic78u2 - ok
19:11:21.0015 3052   aic78xx - ok
19:11:21.0046 3052   AliIde - ok
19:11:21.0046 3052   amsint - ok
19:11:21.0078 3052   asc - ok
19:11:21.0093 3052   asc3350p - ok
19:11:21.0109 3052   asc3550 - ok
19:11:21.0156 3052   AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:11:21.0156 3052   AsyncMac - ok
19:11:21.0187 3052   atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
19:11:21.0187 3052   atapi - ok
19:11:21.0203 3052   Atdisk - ok
19:11:21.0218 3052   Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:11:21.0218 3052   Atmarpc - ok
19:11:21.0250 3052   audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
19:11:21.0250 3052   audstub - ok
19:11:21.0343 3052   BCM43XX         (9208c78bd9283f79a30252ad954c77a2) C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
19:11:21.0359 3052   BCM43XX - ok
19:11:21.0406 3052   BCMWLNPF        (8c31c9db77ed6143ad09dc5fd2c9d9cc) C:\WINDOWS\system32\drivers\bcmwlnpf.sys
19:11:21.0421 3052   BCMWLNPF - ok
19:11:21.0468 3052   Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
19:11:21.0468 3052   Beep - ok
19:11:21.0484 3052   catchme - ok
19:11:21.0515 3052   cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
19:11:21.0515 3052   cbidf2k - ok
19:11:21.0546 3052   CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
19:11:21.0546 3052   CCDECODE - ok
19:11:21.0562 3052   cd20xrnt - ok
19:11:21.0593 3052   Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
19:11:21.0593 3052   Cdaudio - ok
19:11:21.0656 3052   Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
19:11:21.0656 3052   Cdfs - ok
19:11:21.0687 3052   Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
19:11:21.0687 3052   Cdrom - ok
19:11:21.0703 3052   Changer - ok
19:11:21.0765 3052   CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
19:11:21.0765 3052   CmBatt - ok
19:11:21.0796 3052   cmderd          (6fc2b79561ba089cb5a271c0ab9192d9) C:\WINDOWS\system32\DRIVERS\cmderd.sys
19:11:21.0796 3052   cmderd - ok
19:11:21.0812 3052   cmdGuard        (a2c97b4f0db351930d58f467948dc51d) C:\WINDOWS\system32\DRIVERS\cmdguard.sys
19:11:21.0812 3052   cmdGuard - ok
19:11:21.0859 3052   cmdHlp          (a736f2263310fee1799de88cb50c1023) C:\WINDOWS\system32\DRIVERS\cmdhlp.sys
19:11:21.0859 3052   cmdHlp - ok
19:11:21.0875 3052   CmdIde - ok
19:11:21.0890 3052   Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
19:11:21.0890 3052   Compbatt - ok
19:11:21.0921 3052   Cpqarray - ok
19:11:21.0937 3052   dac2w2k - ok
19:11:21.0953 3052   dac960nt - ok
19:11:21.0968 3052   Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
19:11:21.0984 3052   Disk - ok
19:11:22.0062 3052   dmboot          (82bc125a8ed33f5f0e75f2aac1065323) C:\WINDOWS\system32\drivers\dmboot.sys
19:11:22.0109 3052   dmboot - ok
19:11:22.0125 3052   dmio            (e959ddc0ea7ac11ee5e5602e2a364310) C:\WINDOWS\system32\drivers\dmio.sys
19:11:22.0125 3052   dmio - ok
19:11:22.0140 3052   dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
19:11:22.0140 3052   dmload - ok
19:11:22.0171 3052   DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
19:11:22.0171 3052   DMusic - ok
19:11:22.0187 3052   dpti2o - ok
19:11:22.0234 3052   drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
19:11:22.0234 3052   drmkaud - ok
19:11:22.0281 3052   E100B           (5c940a174dfb2c42b9f6ba6edc2baa0b) C:\WINDOWS\system32\DRIVERS\e100b325.sys
19:11:22.0281 3052   E100B - ok
19:11:22.0343 3052   Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
19:11:22.0343 3052   Fastfat - ok
19:11:22.0406 3052   Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
19:11:22.0406 3052   Fdc - ok
19:11:22.0437 3052   Fips            (2cfea3326981a18c6baf2bd9be76225b) C:\WINDOWS\system32\drivers\Fips.sys
19:11:22.0437 3052   Fips - ok
19:11:22.0453 3052   Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
19:11:22.0453 3052   Flpydisk - ok
19:11:22.0515 3052   FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
19:11:22.0515 3052   FltMgr - ok
19:11:22.0531 3052   Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
19:11:22.0531 3052   Fs_Rec - ok
19:11:22.0562 3052   Ftdisk          (f3269a6ee547ea87b949a1cea4816b38) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:11:22.0562 3052   Ftdisk - ok
19:11:22.0640 3052   Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
19:11:22.0640 3052   Gpc - ok
19:11:22.0703 3052   HBtnKey         (de15777902a5d9121857d155873a1d1b) C:\WINDOWS\system32\DRIVERS\cpqbttn.sys
19:11:22.0703 3052   HBtnKey - ok
19:11:22.0781 3052   HdAudAddService (47f106735bad58a4d4a05c4a38315cd9) C:\WINDOWS\system32\drivers\CHDAud.sys
19:11:22.0781 3052   HdAudAddService - ok
19:11:22.0843 3052   HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
19:11:22.0843 3052   HDAudBus - ok
19:11:22.0890 3052   hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
19:11:22.0890 3052   hidusb - ok
19:11:22.0921 3052   hpn - ok
19:11:22.0968 3052   HpqKbFiltr      (35956140e686d53bf676cf0c778880fc) C:\WINDOWS\system32\DRIVERS\HpqKbFiltr.sys
19:11:22.0984 3052   HpqKbFiltr - ok
19:11:23.0046 3052   HSFHWAZL        (6a5c4732d6803f84e2987edd8e4359ce) C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys
19:11:23.0046 3052   HSFHWAZL - ok
19:11:23.0093 3052   HSF_DPV         (21c31273c6cc4826e74be8ae3b09d4a8) C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
19:11:23.0093 3052   HSF_DPV - ok
19:11:23.0156 3052   HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
19:11:23.0156 3052   HTTP - ok
19:11:23.0171 3052   i2omgmt - ok
19:11:23.0187 3052   i2omp - ok
19:11:23.0250 3052   i8042prt        (610726e28af55b95043c5c35a727e320) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:11:23.0250 3052   i8042prt - ok
19:11:23.0500 3052   ialm            (8b998e6c0aebbaecd6da33df947695d3) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
19:11:23.0546 3052   ialm - ok
19:11:23.0593 3052   iaStor          (e5a0034847537eaee3c00349d5c34c5f) C:\WINDOWS\system32\DRIVERS\iaStor.sys
19:11:23.0609 3052   iaStor - ok
19:11:23.0625 3052   Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
19:11:23.0625 3052   Imapi - ok
19:11:23.0656 3052   InCDFs - ok
19:11:23.0671 3052   InCDPass - ok
19:11:23.0671 3052   InCDRm - ok
19:11:23.0703 3052   ini910u - ok
19:11:23.0734 3052   Inspect         (456003490faa4a2361ceacbfb6409172) C:\WINDOWS\system32\DRIVERS\inspect.sys
19:11:23.0734 3052   Inspect - ok
19:11:23.0781 3052   IntelIde        (027fe9b28fb0f861c181d25923b31e78) C:\WINDOWS\system32\DRIVERS\intelide.sys
19:11:23.0781 3052   IntelIde - ok
19:11:23.0859 3052   intelppm        (ebd830a0970c438047006a49c23e287f) C:\WINDOWS\system32\DRIVERS\intelppm.sys
19:11:23.0859 3052   intelppm - ok
19:11:23.0890 3052   Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
19:11:23.0890 3052   Ip6Fw - ok
19:11:23.0921 3052   IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:11:23.0921 3052   IpFilterDriver - ok
19:11:23.0937 3052   IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
19:11:23.0937 3052   IpInIp - ok
19:11:23.0984 3052   IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
19:11:23.0984 3052   IpNat - ok
19:11:24.0000 3052   IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
19:11:24.0000 3052   IPSec - ok
19:11:24.0046 3052   IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
19:11:24.0046 3052   IRENUM - ok
19:11:24.0062 3052   isapnp          (0953594beb81cc72fcc62d37921b25a6) C:\WINDOWS\system32\DRIVERS\isapnp.sys
19:11:24.0062 3052   isapnp - ok
19:11:24.0109 3052   Kbdclass        (28b6eace513ca7eaba3b809ad4bc274d) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:11:24.0109 3052   Kbdclass - ok
19:11:24.0140 3052   kbdhid          (4c61c226bdda2ef1672b2c5f4e56625e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
19:11:24.0140 3052   kbdhid - ok
19:11:24.0203 3052   kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
19:11:24.0203 3052   kmixer - ok
19:11:24.0218 3052   KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
19:11:24.0234 3052   KSecDD - ok
19:11:24.0250 3052   lbrtfdc - ok
19:11:24.0328 3052   mdmxsdk         (0cea2d0d3fa284b85ed5b68365114f76) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
19:11:24.0328 3052   mdmxsdk - ok
19:11:24.0375 3052   mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
19:11:24.0375 3052   mnmdd - ok
19:11:24.0421 3052   Modem           (8cb6636806d76b85fafaee94d75f5129) C:\WINDOWS\system32\drivers\Modem.sys
19:11:24.0421 3052   Modem - ok
19:11:24.0453 3052   Mouclass        (e904ebed608055a2bfb824c07f59766c) C:\WINDOWS\system32\DRIVERS\mouclass.sys
19:11:24.0453 3052   Mouclass - ok
19:11:24.0484 3052   mouhid          (d7662f0cf5b77bbbe3202716f5bd5318) C:\WINDOWS\system32\DRIVERS\mouhid.sys
19:11:24.0484 3052   mouhid - ok
19:11:24.0484 3052   MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
19:11:24.0500 3052   MountMgr - ok
19:11:24.0515 3052   mraid35x - ok
19:11:24.0531 3052   MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:11:24.0531 3052   MRxDAV - ok
19:11:24.0562 3052   MRxSmb          (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:11:24.0578 3052   MRxSmb - ok
19:11:24.0609 3052   Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
19:11:24.0609 3052   Msfs - ok
19:11:24.0656 3052   MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
19:11:24.0656 3052   MSKSSRV - ok
19:11:24.0671 3052   MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:11:24.0671 3052   MSPCLOCK - ok
19:11:24.0671 3052   MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
19:11:24.0687 3052   MSPQM - ok
19:11:24.0750 3052   mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:11:24.0750 3052   mssmbios - ok
19:11:24.0796 3052   MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
19:11:24.0796 3052   MSTEE - ok
19:11:24.0812 3052   Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
19:11:24.0812 3052   Mup - ok
19:11:24.0843 3052   NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
19:11:24.0859 3052   NABTSFEC - ok
19:11:24.0906 3052   NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
19:11:24.0906 3052   NDIS - ok
19:11:24.0921 3052   NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
19:11:24.0937 3052   NdisIP - ok
19:11:24.0953 3052   NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:11:24.0953 3052   NdisTapi - ok
19:11:24.0984 3052   Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:11:24.0984 3052   Ndisuio - ok
19:11:25.0000 3052   NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:11:25.0000 3052   NdisWan - ok
19:11:25.0015 3052   NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
19:11:25.0015 3052   NDProxy - ok
19:11:25.0031 3052   NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
19:11:25.0031 3052   NetBIOS - ok
19:11:25.0062 3052   NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
19:11:25.0062 3052   NetBT - ok
19:11:25.0125 3052   Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
19:11:25.0125 3052   Npfs - ok
19:11:25.0156 3052   Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
19:11:25.0171 3052   Ntfs - ok
19:11:25.0250 3052   Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
19:11:25.0250 3052   Null - ok
19:11:25.0281 3052   NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:11:25.0281 3052   NwlnkFlt - ok
19:11:25.0296 3052   NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:11:25.0296 3052   NwlnkFwd - ok
19:11:25.0343 3052   Parport         (4e9408a178b2d955871c2cdd278de3c3) C:\WINDOWS\system32\drivers\Parport.sys
19:11:25.0343 3052   Parport - ok
19:11:25.0359 3052   PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
19:11:25.0359 3052   PartMgr - ok
19:11:25.0390 3052   ParVdm          (0dabef655a444cb1e193626fb1d24b9f) C:\WINDOWS\system32\drivers\ParVdm.sys
19:11:25.0390 3052   ParVdm - ok
19:11:25.0406 3052   PCI             (f40a46892afebb0314536b849d57c11e) C:\WINDOWS\system32\DRIVERS\pci.sys
19:11:25.0421 3052   PCI - ok
19:11:25.0437 3052   PCIDump - ok
19:11:25.0468 3052   PCIIde          (b2df00d650fd6c4ee781740ed3c8e67f) C:\WINDOWS\system32\DRIVERS\pciide.sys
19:11:25.0468 3052   PCIIde - ok
19:11:25.0484 3052   Pcmcia          (815c50f2b1d1562800bdce8be895000e) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
19:11:25.0484 3052   Pcmcia - ok
19:11:25.0500 3052   PDCOMP - ok
19:11:25.0515 3052   PDFRAME - ok
19:11:25.0531 3052   PDRELI - ok
19:11:25.0546 3052   PDRFRAME - ok
19:11:25.0562 3052   perc2 - ok
19:11:25.0593 3052   perc2hib - ok
19:11:25.0656 3052   PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
19:11:25.0656 3052   PptpMiniport - ok
19:11:25.0687 3052   PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
19:11:25.0687 3052   PSched - ok
19:11:25.0703 3052   Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
19:11:25.0703 3052   Ptilink - ok
19:11:25.0718 3052   ql1080 - ok
19:11:25.0734 3052   Ql10wnt - ok
19:11:25.0750 3052   ql12160 - ok
19:11:25.0765 3052   ql1240 - ok
19:11:25.0781 3052   ql1280 - ok
19:11:25.0812 3052   RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
19:11:25.0812 3052   RasAcd - ok
19:11:25.0843 3052   Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:11:25.0843 3052   Rasl2tp - ok
19:11:25.0859 3052   RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:11:25.0859 3052   RasPppoe - ok
19:11:25.0875 3052   Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
19:11:25.0890 3052   Raspti - ok
19:11:25.0906 3052   Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
19:11:25.0906 3052   Rdbss - ok
19:11:25.0921 3052   RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:11:25.0937 3052   RDPCDD - ok
19:11:25.0953 3052   rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:11:25.0953 3052   rdpdr - ok
19:11:26.0031 3052   RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
19:11:26.0031 3052   RDPWD - ok
19:11:26.0078 3052   redbook         (393fc252593323b624b230eca6b85e63) C:\WINDOWS\system32\DRIVERS\redbook.sys
19:11:26.0078 3052   redbook - ok
19:11:26.0156 3052   Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
19:11:26.0171 3052   Secdrv - ok
19:11:26.0218 3052   Serial          (fdbd9d64e2e03270021d424f0dccf79d) C:\WINDOWS\system32\drivers\Serial.sys
19:11:26.0218 3052   Serial - ok
19:11:26.0281 3052   Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
19:11:26.0281 3052   Sfloppy - ok
19:11:26.0312 3052   Simbad - ok
19:11:26.0359 3052   SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
19:11:26.0375 3052   SLIP - ok
19:11:26.0390 3052   Sparrow - ok
19:11:26.0421 3052   splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
19:11:26.0421 3052   splitter - ok
19:11:26.0453 3052   sr              (618718cae288bf7cbd8fcbab2577d932) C:\WINDOWS\system32\DRIVERS\sr.sys
19:11:26.0453 3052   sr - ok
19:11:26.0484 3052   Srv             (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
19:11:26.0484 3052   Srv - ok
19:11:26.0531 3052   streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
19:11:26.0531 3052   streamip - ok
19:11:26.0562 3052   swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
19:11:26.0562 3052   swenum - ok
19:11:26.0593 3052   swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
19:11:26.0593 3052   swmidi - ok
19:11:26.0640 3052   symc810 - ok
19:11:26.0656 3052   symc8xx - ok
19:11:26.0671 3052   sym_hi - ok
19:11:26.0687 3052   sym_u3 - ok
19:11:26.0750 3052   SynTP           (0f332c0ba9b968ebc8cbb906416f8597) C:\WINDOWS\system32\DRIVERS\SynTP.sys
19:11:26.0750 3052   SynTP - ok
19:11:26.0781 3052   sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
19:11:26.0781 3052   sysaudio - ok
19:11:26.0843 3052   Tcpip           (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
19:11:26.0843 3052   Tcpip - ok
19:11:26.0875 3052   TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
19:11:26.0875 3052   TDPIPE - ok
19:11:26.0890 3052   TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
19:11:26.0906 3052   TDTCP - ok
19:11:26.0937 3052   TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
19:11:26.0937 3052   TermDD - ok
19:11:26.0968 3052   TosIde - ok
19:11:27.0031 3052   Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
19:11:27.0031 3052   Udfs - ok
19:11:27.0046 3052   UIUSys - ok
19:11:27.0062 3052   ultra - ok
19:11:27.0109 3052   Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
19:11:27.0109 3052   Update - ok
19:11:27.0171 3052   usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
19:11:27.0171 3052   usbaudio - ok
19:11:27.0187 3052   usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:11:27.0187 3052   usbccgp - ok
19:11:27.0234 3052   usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
19:11:27.0234 3052   usbehci - ok
19:11:27.0250 3052   usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
19:11:27.0250 3052   usbhub - ok
19:11:27.0312 3052   usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
19:11:27.0312 3052   usbprint - ok
19:11:27.0343 3052   USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:11:27.0359 3052   USBSTOR - ok
19:11:27.0390 3052   usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
19:11:27.0390 3052   usbuhci - ok
19:11:27.0421 3052   usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
19:11:27.0437 3052   usbvideo - ok
19:11:27.0500 3052   VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
19:11:27.0500 3052   VgaSave - ok
19:11:27.0515 3052   ViaIde - ok
19:11:27.0546 3052   VolSnap         (e46c1b5a56da7da603d09dfcc79ec59e) C:\WINDOWS\system32\drivers\VolSnap.sys
19:11:27.0546 3052   VolSnap - ok
19:11:27.0609 3052   Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
19:11:27.0609 3052   Wanarp - ok
19:11:27.0687 3052   Wdf01000        (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
19:11:27.0687 3052   Wdf01000 - ok
19:11:27.0703 3052   WDICA - ok
19:11:27.0750 3052   wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
19:11:27.0750 3052   wdmaud - ok
19:11:27.0859 3052   winachsf        (307d248f97835b6879bdd361086924fe) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
19:11:27.0859 3052   winachsf - ok
19:11:27.0937 3052   WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
19:11:27.0937 3052   WmiAcpi - ok
19:11:28.0015 3052   WpdUsb          (d4162c1d8fe1de8f1e6ef9ba4323d520) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
19:11:28.0015 3052   WpdUsb - ok
19:11:28.0062 3052   WS2IFSL         (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
19:11:28.0078 3052   WS2IFSL - ok
19:11:28.0125 3052   WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
19:11:28.0140 3052   WSTCODEC - ok
19:11:28.0171 3052   WudfPf          (443f0a35cb3be5d176053da39157a898) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
19:11:28.0281 3052   WudfPf - ok
19:11:28.0312 3052   WudfRd          (e12d4c486d7eb4e0961c27558dc25af7) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
19:11:28.0421 3052   WudfRd - ok
19:11:28.0468 3052   MBR (0x1B8)     (828e02d5c4a4fbe53441ee9dbee51f43) \Device\Harddisk0\DR0
19:11:28.0656 3052   \Device\Harddisk0\DR0 - ok
19:11:28.0656 3052   Boot (0x1200)   (601d29e0e37a858cb2e179dd6884c439) \Device\Harddisk0\DR0\Partition0
19:11:28.0656 3052   \Device\Harddisk0\DR0\Partition0 - ok
19:11:28.0656 3052   ============================================================
19:11:28.0656 3052   Scan finished
19:11:28.0656 3052   ============================================================
19:11:28.0671 3044   Detected object count: 0
19:11:28.0671 3044   Actual detected object count: 0
19:11:47.0906 3024   Deinitialize success
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 08/03/12 19:18

Ok.
Esegui la procedura descritta, rigorosamente nel suo ordine, al fine di:
guadagnare spazio su disco
ottimizzare le prestazioni del sistema
mantenere il corretto funzionamento di Windows

Ottimizzazione - post rimozione malware

Il mio consiglio è quello di stampare questa procedura, perché tornerà senz'altro utile in futuro, a te ed ai tuoi conoscenti: condividila pure con loro, non ha controindicazioni di alcun genere ed andrebbe eseguita dopo aver rimosso tutte le infezione presenti nel sistema.
Queste operazioni infatti, andrebbero eseguite almeno una volta al mese (per utilizzatori di Computer assidui il tempo è ridotto a due settimane, eccetto per lo Scandisk, punto 13. della procedura).

Tieni presente che la maggior parte delle chiavi di registro corrotte e danneggiate non si possono ripristinare e riparare correttamente, e l'installazione e la disinstallazione continua dei programmi può causare crash di sistema e fastidiose schermate blu.

Una formattazione consente di ottenere dei massimi benefici, in termini di velocità, stabilità e prestazioni: questa procedura si avvicina maggiormente ai risultati ottenuti tramite una formattazione del disco fisso.

1. Rimuovi le voci di avvio non necessarie

Questa procedura è puramente facoltativa: questi sono programmi che si avviano quando accendi il computer, ma puoi eseguirli una volta caricato il sistema operativo.
Togliendo questi software dall'esecuzione automatica, l'avvio sarà più veloce ed il computer funzionerà meglio.

Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su
Queste sono le voci da fixare:

Codice: Seleziona tutto
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Programmi\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


Nota: per lanciare HiJackThis su Windows Vista e Windows 7, clicca con il tasto destro del mouse sulla icona di HiJackThis (rappresentata da un omino vestito di rosso con una lente di ingrandimento, nota il file eseguibile in grassetto sotto) e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

Il percorso da seguire per trovare l'eseguibile del programma è: Start/ Computer/ Programmi/ Trend Micro/ HiJackThis/ HiJackThis.exe

******************************

2. Disinstalla i programmi inutilizzati, e tutte le Toolbar

Procedura per Windows XP:
● clicca sul pulsante Start
● apri il Pannello di controllo
● clicca su Installazione applicazioni
● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Rimuovi: partirà la procedura di disinstallazione

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● apri il Pannello di controllo
● clicca su Programmi, e su Programmi e funzionalità
● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Disinstalla: partirà la procedura di disinstallazione

******************************

3. Disinstalla dal Pannello di controllo, in particolare, le seguenti applicazioni:
Adobe Flash Player
Adobe Reader
Java (tutte le versioni installate)

Scarica ed installa, dai siti proposti, le versioni aggiornate dei programmi appena disinstallati:
Adobe Flash Player: http://get.adobe.com/it/flashplayer
Adobe Reader : http://get.adobe.com/it/reader
Java: http://java.com/it/download/index.jsp

Note - riguardo alla procedura:
non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce
● alternativamente ad Abobe Reader, software pesante e soprattutto soggetto a vulnerabilità sfruttabili dai malware presenti nella rete per infettare il sistema, puoi scaricare il veloce e leggerissimo Sumatra PDF Reader, che nulla ha da invidiare al prodotto di casa Adobe: http://blog.kowalczyk.info/software/sum ... eader.html

******************************

4. Disattiva il Ripristino Configurazione di Sistema

Procedura per Windows XP:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Risorse del computer
● seleziona, dal menù a tendina, la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità
● conferma la modifica, con Applica e OK

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Computer
● seleziona, dal menù a tendina, la voce Proprietà
● clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua
● deseleziona la casella di controllo visualizzata accanto al Disco Locale C:
● clicca sul pulsante OK
● conferma la modifica apportata, cliccando sul pulsante Applica e OK

******************************

5. Svuota del suo contenuto la cartella Prefetch

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer.
Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci

******************************

6. Svuota del suo contenuto la cartella Download

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti

******************************

7. Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

8. Scarica ed installa CCleaner: http://www.piriform.com/ccleaner/download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato ed avviato, esegui queste operazioni:
● nel menù di sinistra, clicca su Opzioni
● nella finestra successiva, clicca su Impostazioni
● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
● clicca su Avanzate
● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS
● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti
termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei
● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
● nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK
● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
● clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere
● una volta terminate le operazioni, chiudi il programma

******************************

9. Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):
● clicca sulla voce Open the Misc Tools section
● clicca su Open ADS Spy..., nel tab System tools
● in alto, togli la spunta alla voce Quick scan (Windows base folder only)
● clicca, in basso, sul pulsante Scan
● attendi pazientemente il termine della scansione
● se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all
● clicca, in basso, sul pulsante Remove selected: conferma con
● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:
● in caso avessi un sistema operativo a 64 Bit, tralascia la procedura. Fai click qui per scoprire se il tuo sistema operativo è a 32 o 64 Bit: http://support.microsoft.com/kb/827218/it

******************************

10. Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Note - riguardo al programma:
OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato in precedenza particolari programmi che richiedono una particolare procedura di disinstallazione, come ComboFix, FindAWF, GMER, RSIT e TDSS Killer.
● per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

11. Riabilita il Ripristino Configurazione di Sistema, seguendo la procedura inversa al punto 4

******************************

12. Scarica ed installa Defraggler: http://www.piriform.com/defraggler/download

Nota - durante l'installazione:
non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato, esegui queste operazioni:
● avvia il programma con un doppio click
● seleziona con il tasto sinistro del mouse l'unità Disco Locale C:
● clicca, in basso a sinistra, sul bottone Deframmenta
● attendi pazientemente il termine delle operazioni

******************************

13. Controlla l'Hard Disk per eventuali errori

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Esegui
● nello spazio bianco, copia ed incolla questa riga:
cmd /c chkdsk c: |find /v "percent" >> "%userprofile%\desktop\checkhd.txt"
● clicca sul pulsante OK
● attendi pazientemente il termine delle operazioni
● una finestra DOS vuota si aprirà sul Desktop, per poi chiudersi automaticamente: nulla di cui preoccuparsi
● allega il file checkhd.txt presente sul Desktop per un controllo

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● scegli la voce Tutti i programmi
● clicca su Accessori
● clicca su Esegui
● nello spazio bianco, copia ed incolla questa riga:
cmd /c chkdsk c: |find /v "percent" >> "%userprofile%\desktop\checkhd.txt"
● clicca sul pulsante OK
● attendi pazientemente il termine delle operazioni
● una finestra DOS vuota si aprirà sul Desktop, per poi chiudersi automaticamente: nulla di cui preoccuparsi
● allega il file checkhd.txt presente sul Desktop per un controllo

******************************

Note - al termine della procedura:
riavvia il sistema
allega un nuovo log di HijackThis
● comunica come funziona il sistema, e quali problemi riscontri attualmente
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 09/03/12 09:02

file checkhd:
Codice: Seleziona tutto
Il file system Š di tipo NTFS.
L'etichetta del volume Š Sistema.

Avvertenza! Parametro F non specificato
CHKDSK eseguito in modalit… sola lettura.

Verifica dei file in corso (fase 1 di 3)...
Verifica degli indici in corso (fase 2 di 3)...
CHKDSK sta recuperando i file perduti.
Recupero del file orfano ~DFBDAE.tmp (23080) nel file di directory 3326.
Recupero del file orfano ~DFBDD4.tmp (23083) nel file di directory 3326.
Recupero del file orfano {AFD66~1.DAT (23085) nel file di directory 2129.
Recupero del file orfano {AFD661FE-69BC-11E1-B14F-0021001D7133}.dat (23085) nel file di directory 2129.
Recupero del file orfano ~DF5CB0.tmp (23086) nel file di directory 3326.
Recupero del file orfano GOOGLE~1.HTM (23092) nel file di directory 1163.
Recupero del file orfano google_it[1].htm (23092) nel file di directory 1163.
Recupero del file orfano D3IDW02N.txt (23093) nel file di directory 10274.
Recupero del file orfano WWWGOO~1.XML (23094) nel file di directory 2287.
Recupero del file orfano www.google[1].xml (23094) nel file di directory 2287.
Recupero del file orfano CLOSE_~1.GIF (23096) nel file di directory 2032.
Recupero del file orfano close_sm[1].gif (23096) nel file di directory 2032.
Recupero del file orfano J_F11B~1.PNG (23097) nel file di directory 2124.
Recupero del file orfano j_f11bbae9[1].png (23097) nel file di directory 2124.
Recupero del file orfano CHROME~1.PNG (23098) nel file di directory 2124.
Recupero del file orfano chrome-48[1].png (23098) nel file di directory 2124.
Recupero del file orfano G-BUTT~1.GIF (23100) nel file di directory 982.
Recupero del file orfano g-button-chocobo-basic-1[1].gif (23100) nel file di directory 982.
Recupero del file orfano LOGO3W~1.PNG (23101) nel file di directory 1163.
Recupero del file orfano logo3w[1].png (23101) nel file di directory 1163.
Recupero del file orfano G-BUTT~1.GIF (23102) nel file di directory 2032.
Recupero del file orfano g-button-chocobo-basic-2[1].gif (23102) nel file di directory 2032.
Recupero del file orfano MGYHP_~1.PNG (23103) nel file di directory 2124.
Recupero del file orfano mgyhp_sm[1].png (23103) nel file di directory 2124.
Recupero del file orfano TWSHKN~1.JS (23104) nel file di directory 982.
Recupero del file orfano tWshKNGlbCs[1].js (23104) nel file di directory 982.
Recupero del file orfano MSHIST~1 (23105) nel file di directory 10262.
Recupero del file orfano MSHist012012030920120310 (23105) nel file di directory 10262.
Recupero del file orfano FAVICO~2.ICO (23107) nel file di directory 982.
Recupero del file orfano favicon[2].ico (23107) nel file di directory 982.
Recupero del file orfano NAV_LO~1.PNG (23108) nel file di directory 1163.
Recupero del file orfano nav_logo104[1].png (23108) nel file di directory 1163.
Recupero del file orfano SEM_24~1.JS (23109) nel file di directory 1163.
Recupero del file orfano sem_24f279c41cbdb53cb15432c98ed5fee2[1].js (23109) nel file di directory 1163.
Recupero del file orfano C7B16C~1.JS (23110) nel file di directory 2032.
Recupero del file orfano c7b16ca236b36e8d[1].js (23110) nel file di directory 2032.
Recupero del file orfano tia[1].png (23111) nel file di directory 2032.
Recupero del file orfano TIA_1_~1.PNG (23111) nel file di directory 2032.
Recupero del file orfano swxa[1].gif (23112) nel file di directory 2124.
Recupero del file orfano SWXA_1~1.GIF (23112) nel file di directory 2124.
Recupero del file orfano FRAMEI~1.DAT (23113) nel file di directory 18427.
Recupero del file orfano frameiconcache.dat (23113) nel file di directory 18427.
Recupero del file orfano ~DFC2B0.tmp (23114) nel file di directory 3326.
Recupero del file orfano ~DFC387.tmp (23115) nel file di directory 3326.
Recupero del file orfano ~DFC3B3.tmp (23116) nel file di directory 3326.
Recupero del file orfano SHOW_A~1.JS (23117) nel file di directory 982.
Recupero del file orfano show_ads[1].js (23117) nel file di directory 982.
Recupero del file orfano SHOW_A~1.JS (23118) nel file di directory 1163.
Recupero del file orfano show_ads_impl[1].js (23118) nel file di directory 1163.
Recupero del file orfano LEH4IQK9.txt (23119) nel file di directory 10274.
Recupero del file orfano CFSCRI~1.GIF (23120) nel file di directory 2032.
Recupero del file orfano cfscript08oy6[1].gif (23120) nel file di directory 2032.
Recupero del file orfano RENDER~1.JS (23121) nel file di directory 2124.
Recupero del file orfano render_ads[1].js (23121) nel file di directory 2124.
Recupero del file orfano EXPANS~1.JS (23122) nel file di directory 982.
Recupero del file orfano expansion_embed[1].js (23122) nel file di directory 982.
Recupero del file orfano osd[1].js (23123) nel file di directory 1163.
Recupero del file orfano OSD_1_~1.JS (23123) nel file di directory 1163.
Recupero del file orfano si[1].htm (23124) nel file di directory 982.
Recupero del file orfano SI_1_~1.HTM (23124) nel file di directory 982.
Recupero del file orfano ads[1].htm (23125) nel file di directory 2032.
Recupero del file orfano ADS_1_~1.HTM (23125) nel file di directory 2032.
Recupero del file orfano sma8[1].js (23126) nel file di directory 2124.
Recupero del file orfano SMA8_1~1.JS (23126) nel file di directory 2124.
Recupero del file orfano GRAPHI~1.JS (23127) nel file di directory 982.
Recupero del file orfano graphics[1].js (23127) nel file di directory 982.
Recupero del file orfano s[1].htm (23128) nel file di directory 2124.
Recupero del file orfano S_1_~1.HTM (23128) nel file di directory 2124.
Recupero del file orfano ABG-IT~1.PNG (23129) nel file di directory 2032.
Recupero del file orfano abg-it-100c-000000[1].png (23129) nel file di directory 2032.
Recupero del file orfano 88TGFLG1.txt (23130) nel file di directory 10274.
Recupero del file orfano 2LUAEPZN.txt (23180) nel file di directory 10274.
Verifica dei descrittori di protezione in corso (fase 3 di 3)...
Correzione degli errori nell'attributo BITMAP della Tabella file master (MFT).
Correzione errori nella bitmap del volume.
Nessun problema rilevato nel file system.
Eseguire CHKDSK con l'opzione /F per le correzioni.

 117210208 KB di spazio totale su disco.
  33064456 KB in 74893 file.
     35128 KB in 8908 indici.
         0 KB in settori danneggiati.
    217256 KB in uso dal sistema.
     65536 KB occupati dal file registro.
  83893368 KB disponibili su disco.

      4096 byte in ogni unit… di allocazione.
  29302552 unit… totali di allocazione su disco.
  20973342 unit… di allocazione disponibili su disco.

Log HijackThis :
Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9.03.32, on 09/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223662323031
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F4F5397-AB36-4E4A-900B-0DC12402A49F}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{91F320B5-7BFC-4D9E-83F6-94C883DDACA3}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A3383E9-77EF-4BAD-9969-A14720717F8D}: NameServer = 176.31.229.24,176.31.229.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 09/03/12 13:54

Non mi hai detto come funziona il PC :)

Francesco
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi Layla » 09/03/12 18:44

Non ha più fatto l'errore e mi sono tolta un bel peso !! :)
Ma sono in dubbio su un avviso "aggiornamenti automatici", dove mi consiglia di installare diversi aggiornamenti per microsoft office, avendo avuto esperienze passate, che tramite questi aggiornamenti ho beccato diversi virus, sono in dubbio se mi conviene disattivare gli aggiornamenti automatici dal centro di sicurezza windows o meno. cosa mi consigli?
Layla
Utente Junior
 
Post: 13
Iscritto il: 05/03/12 16:26

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 10/03/12 14:21

Gli aggiornamenti tienili sempre attivati, sono vitali per il Sistema Operativo e non recano danno alcuno.
Se non riscontri più problemi, abbiamo finito. Hai un Messaggio Privato.

Francesco
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53

Re: Generic Host Process For Win32 Services

Postdi sbro » 20/03/12 21:33

Aiuuutooo io ho lo stesso problema da moltissimo tempo e non riesco a risolverlo!!! please help me!!! :cry:
sbro
Newbie
 
Post: 2
Iscritto il: 20/03/12 21:31

Re: Generic Host Process For Win32 Services

Postdi FrancescoFDAC » 21/03/12 08:50

Sbro, sei pregato di aprire una nuova discussione, nella sezione Sicurezza Virus: li ti daremo una mano.

Francesco
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 09:53


Torna a Sicurezza e Privacy


Topic correlati a "Generic Host Process For Win32 Services":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti