Virus infetta NDIS.sys

[Cancro87]

Salve ragazzi, ho un problema con un malware rognoso. Provo a partire dall'origine, inizialmente ho riscontrato alcune anomalie con programmi sicuri tipo macromedia flash, clicco 2 volte sull'icona e appare il classico errore "invia errore" o "non inviare". Successivamente vedo che il mio antivirus Nod32 versione 3.0.X rileva e mette in quarantena chiavi di registro, file di applicazioni sicure, ecc. Inoltre riscontro quando navigo in rete una lentezza nell'aprire le pagine web, e per finire mi dà come inesistenti i siti degli antivirus nod, kaspers, avg ecc e il sito della microsoft. Ho provato a fare una scansione con il tool di rimozione malware di microsoft e mi trova 1 file infetto: c:/windows/system32/driver/NDIS.sys ma ovviamente non lo elimina in nessun modo, sia il tool che dice di averlo rimosso parzialmente sia il nod.

Ringrazio in anticipo tutti gli utenti che saranno disposti a darmi una mano.

[shel]

ciao

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

[Cancro87]

è più complicato di quanto pensassi...non mi fà avviare combofix, l'avevo usato di recente sul portatile e conosco il funzionamento, ma appena lo scarico ed avvio visualizzo dei file quarantinati da nod e il combofix quando ci clicco và in errore e mi dice che è compatibile solo con windows 2000 e xp (che ho io). Come posso aggirare per fare una scansione?

[Luke57]

Ciao, prima di avviarlo disattiva il tuo antivirus, sconnettiti da internet e riprova.
Se non andasse nemmeno in questo modo, eliminalo e riscaricalo nuovamente:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

prima di salvare il file nel desktop rinominalo con un nome a piacere, tipo 1234.exe.
Poi priva ad avviarlo con le solite modalità

[Cancro87]

grazie per la tua risposta Luke57

provo e riprovo a seguire le tue indicazioni, clicco sul link del download metto un nome diverso da combofix, tipo 1234.exe, 1111.exe...chiudo antivirus e internet provo ad avviare e mi dice che in pratica il file è corrotto. Questa è la finestra di errore:



che rabbia...

[Luke57]

Ciao di nuovo, Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".
http://www.suspectfile.com/systemscan
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile o altro sito di hosting e posta il link ottenuto.
http://www.savefile.com/
Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[Cancro87]

anche con systemscan mi dà il problema...non me lo fà proprio scaricare...mi dà un errore dal parte che si và a salvare nella cartella temporanea....ho provato a scaricare anche con antivirus chiuso ma sempre la stessa cosa...ora mi chiedo ma è possibile che sia così potente sto virus???

[shel]

segui questo

da una discussione di luke 57

copia questo codice

@echo of
regedit.exe /e C:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
regedit.exe /e C:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"
regedit.exe /e C:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit.exe /e C:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
regedit.exe /e C:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"
regedit.exe /e C:\file9.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy"
regedit.exe /e C:\file10.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"



salvalo sul desktop come:
nome: 1.bat (cambiando ovviamente l'estensione da .txt a .bat).
tipo di file: tutti i file

Poi lo esegui con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.
Se non ti èm possibile allegare la cartella .zip, inseriscila in un sito di hosting e posta il link per poter vedere il file

[Cancro87]

ok ho fatto partire il file .bat e mi ha creato 10/11 file testo. Ho fatto l'upload su savefile.com questo è il link:

http://www.savefile.com/files/2146201

grazie per il vs interesse!

[Luke57]

@Shel
Complimenti, ottima soluzione

Ciao, proviamo a fare così: apri un file di testo e inserisci il seguente script:

Codice: Seleziona tutto

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
"services"=-
"TrialReset"=-
;

salvalo con il nome di fix.reg
tipo di file=tutti i file-

Avvialo con doppio click, alla domanda successiva rispondi di Sì, accettando le modifiche.
Riavvia dalla mod.provvisoria, se non sai come fare:
http://www.beepworld.it/members/maxdor/maxdor.htm

Una volta entrato in tale modalità, da risorse del computer, strumenti>opzioni cartella>visualizzazione>metti la spunta a "visualizza file e cartelle nascosti">OK

Cerca ed elimina i seguenti file, se presenti:+
C:\\WINDOWS\\services.exe (non quello in system32, mi raccomando!)
C:\\WINDOWS\\regx32.exe
C:\\Documents and Settings\\Gigi\\reader_s.exe

Svuota il cestino

Da start>esegui nello spazio digita
%temp%
premi 0k, elimina tutti i file dalla cartella che si apre.

Riavvia in mod.normale .

Vai qui:
viewtopic.php?f=7&t=80380&p=457097&hilit=hijackthis#p457097

guarda se ti riesce utilizzare hiajckthis

[shel]

ciao luke 57

avevo gia' preparato lo script per avenger

grazie a te....MAESTRO

[Cancro87]

ho seguito tutti i passi ed eliminato correttamente tutti quei file. scarico da modalità normale hiajckthis lo installo ma lo rileva come virus...prova a scaricare e installare con nod chiuso?

[Cancro87]

Rettifico...ho messo il programma tra l'eccezioni di nod e l'ho installato di nuovo...tutto ok...ecco il log:

Codice: Seleziona tutto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.20.42, on 05/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programmi\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programmi\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Servizio Gateway di livello applicazione (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

--
End of file - 6419 bytes


[Luke57]

Ciao, la voce di registro è sempre lì, scarica sdfix da qui:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
di seguito le istruzione per l'uso:
Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Cliccate su Install (verrà creata una cartella alla radice dell'HD dal nome SDFix)
Finita l'installazione riavviate il sistema in modalità provvisoria (indispensabile per fare in modo che il tool agisca correttamente)
# Una volta in modalità provvisoria; fate un doppio click sul file RunThis.bat
# selezionate Y
# premete il tasto ENTER della vostra tastiera per lanciare la pulizia.
Pazientate qualche attimo e il tool vi chiederà di premere un tasto per riavviare.
Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.

Posta questo log in un prossimo post.

[Cancro87]

allora Luke57, ho utilizzato sDfix e questo è il log che mi ha dato dopo la scansione:

Codice: Seleziona tutto

[b]SDFix: Version 1.240 [/b]
Run by Gigi on 05/07/2009 at 18.48

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
protect

[b]Path [/b]:
System32\drivers\protect.sys

protect - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\4.tmp - Deleted
C:\WINDOWS\system32\9.tmp - Deleted
C:\WINDOWS\system32\D.tmp - Deleted
C:\WINDOWS\system32\277.tmp - Deleted
C:\WINDOWS\system32\2D.tmp - Deleted
C:\WINDOWS\system32\16.tmp - Deleted
C:\WINDOWS\system32\comsa32.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-05 18:54:36
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:4c,69,0f,23,34,da,8c,9a,e1,45,d0,ef,1e,5a,7c,f3,c9,dd,7b,d4,64,..
"p0"="C:\Programmi\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,fc,55,ec,b4,0b,b7,79,70,14,7e,e6,d0,e0,f2,96,e0,12,..
"hdf12"=hex:89,81,0c,83,e7,e2,0d,55,b0,34,0b,68,e0,9b,78,f6,65,d3,29,81,e0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:3d,6c,d8,8d,30,af,d7,77,44,21,9a,76,29,ef,87,83,ce,b7,6e,00,90,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:4c,69,0f,23,34,da,8c,9a,e1,45,d0,ef,1e,5a,7c,f3,c9,dd,7b,d4,64,..
"p0"="C:\Programmi\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,fc,55,ec,b4,0b,b7,79,70,14,7e,e6,d0,e0,f2,96,e0,12,..
"hdf12"=hex:89,81,0c,83,e7,e2,0d,55,b0,34,0b,68,e0,9b,78,f6,65,d3,29,81,e0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:3d,6c,d8,8d,30,af,d7,77,44,21,9a,76,29,ef,87,83,ce,b7,6e,00,90,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000001b8
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\progra~1\MicPhone\antit.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmi\\Skype\\Phone\\Skype.exe"="C:\\Programmi\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programmi\\Orbitdownloader\\orbitdm.exe"="C:\\Programmi\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"
"C:\\Programmi\\Orbitdownloader\\orbitnet.exe"="C:\\Programmi\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"
"C:\\Programmi\\uTorrent\\uTorrent.exe"="C:\\Programmi\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Programmi\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"="C:\\Programmi\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"C:\\Programmi\\Cyanide\\GameCenter\\GameCenter.exe"="C:\\Programmi\\Cyanide\\GameCenter\\GameCenter.exe:*:Enabled:GameCenter"
"C:\\Programmi\\Cyanide\\Pro Cycling Manager 2007\\PCM.exe"="C:\\Programmi\\Cyanide\\Pro Cycling Manager 2007\\PCM.exe:*:Enabled:Pro Cycling Manager 2007"
"C:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programmi\\Sports Interactive\\Football Manager 2009\\fm.exe"="C:\\Programmi\\Sports Interactive\\Football Manager 2009\\fm.exe:*:Enabled:Football Manager 2009"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon  3 Mar 2008           568 A..H. --- "C:\WINDOWS\nod32fixtemdono.reg"
Mon  3 Mar 2008         5,702 A..H. --- "C:\WINDOWS\nod32restoretemdono.reg"
Sun 31 May 2009             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]



[Luke57]

Ciao, ok, adesso riapri hijackthis, premi "do a system scan only", se trovi la voce seguente:
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
metti il segno di spunta e premi fix checked

hai sempre problemi?

[Cancro87]

ho fatto scan only in hijackthis ma non trovo quella voce...ma sembra che ci sia ancora qualcosa...ho bloccato tutti i siti: microsoft, nod, ecc...devo fixare qlk altra cosa?

[Luke57]

Ciao, non so che cosa ci sia adesso, prova a utilizzare systemscan come ti ho spiegato nel mio post precedente.

[Cancro87]

l'antivirus mi ha segnalato nuovamente il file ndis.sys come infetto e continuo a notare problemi di lentezza in rete. Mi sà che non abbiamo risolto nulla

[Luke57]

Scusa, ma cerca di seguire quello che ti suggerisco, altrimenti ci vuole il doppio
puoi utilizzare systemscan come ti ho suggerito in un mio post precedente?