Condividi:        

HD macina continuamente, Symantec non raggiungibile

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 23/11/09 19:20

Ho un pc MS WindowsXP Professional.
Ho attivato una adsl infostrada da circa un mese. Fin da subito si è presentato un problema in chiusura di windows, che mi costringe ad usare il tasto on/off. Ho finora chiuso gli occhi perché con 10,00 euro/mese qualche problemino me l'aspettavo. Ora la situazione si è fatta pesante poiché si somma (credo) alla presenza di virus. Un paio di giorni fà ho scaricato l'aggiornamento di Google Earth accendendo anche l'opzione perché Google potesse analizzare i dati sull'uso del programma.

Non riesco più ad usare il pc e sono fortemente preoccupato perché ne ho assolutamente bisogno per lavorare.

I sintomi: il pc si avvia normalmente e così anche la connessione ad internet; alle prime operazioni, ad esempio appena apro "Esplora risorse" per i files che mi occorrono, l'hard disk si mette a macinare freneticamente e solo dopo diverso tempo smette, ed è più facile che lo faccia se smetto prima qualunque operazione.
Nella maggior parte di casi non riesco poi a proseguire: non si apre alcuna finestra (programma) e devo spegnere brutalmente. In questo contesto, da un paio di giorni appunto, il browser mi consente la navigazione ma non verso il sito Symantec (o verso "support.microsoft ...") che invece intendevo usare per un aggiornamento delle definizioni virus ed una successiva scansione del disco.

Ho prodotto un file di log mediante HijackThis: chiedo aiuto per leggerne il contenuto ed individuare il problema.
Mi sono convinto di poter attribuire il malfunzionamento ad un virus che traccia le mie attività sul pc. Credo di aver seguito le indicazioni trovate in rete per rintracciare nel log gli items intrusi, ma non mi sembra di vederne.
Di seguito il contenuto del file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.45.06, on 23/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Apps\Softex\OmniPass\scureapp.exe
C:\APPS\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programmi\QuickTime\qttask.exe
C:\apps\ABoard\AOSD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\APPS\SMP\SmpSys.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Microsoft Shared Library Object Version - {0000AC13-3487-1583-C4BE-BE6A839DB000} - C:\WINDOWS\system32\mfc42dx1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [NSS] "C:\Programmi\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" /RELAUNCH /RUNONCE /NOPROMPT /PRODID NSS
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [InstallareEmule] D:\Documents and Settings\marco\Dati applicazioni\InstallareEmule.exe t
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: InstallareEmule - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - D:\Documents and Settings\marco\Dati applicazioni\InstallareEmule.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/St ... b55579.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Fac ... oader5.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZB ... b55579.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.4.1.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZP ... b55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5007647656
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6286734187
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/A ... tPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v ... b56649.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/St ... b55579.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - http://zone.msn.com/bingame/zpagames/zp ... b56961.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Update Service (gupdate1c8f94afb9b5e7e) (gupdate1c8f94afb9b5e7e) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 13593 bytes


Spero veramente in un aiuto, quantomeno per capire se effettivamente il problema è riconducibile ad un virus oppure ad altro (hd che mi abbandona ....).
GRAZIE.
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Sponsor
 

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 23/11/09 19:40

1 - Allora apri hijackthis e clicca su "do a system scan only";

chiudi tutte le applicazioni;

seleziona le seguenti voci:

O2 - BHO: Microsoft Shared Library Object Version - {0000AC13-3487-1583-C4BE-BE6A839DB000} - C:\WINDOWS\system32\mfc42dx1.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: InstallareEmule - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - D:\Documents and Settings\marco\Dati applicazioni\InstallareEmule.exe (file missing)

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.4.1.cab

e premi su "fix checked".

2 - scarica Malwarebytes anti-malware da questo link e salvalo sul desktop:
http://www.malwarebytes.org/mbam-download.php

Disattiva il tuo antivirus;
Installa malwarebytes facendo l'update (aggiornamento), disconnettiti da internet e infine esegui il programma;
Esegui una scansione completa del tuo sistema e posta il log risultante dalla scansione.

Per ora esegui queste due operazioni.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 24/11/09 17:22

Intanto grazie per la risposta. Solo adesso ho potuto avviare le operazioni. devo dirti, però, che non sono riuscito a fare aggiornamento dopo installazione Malwarebytes ... il tentativo di connessione al sito restituisce errore 732 (0,0). In questo momento sto eseguendo comunque la scansione completa. Sarà siciuramente inficiata dal mancato update oppure potrà dare comunque un risultato?
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 24/11/09 17:59

si procedi comunque.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 24/11/09 18:09

scusami ... sarò imbranato ... la scansione è terminata: posso eliminare gli elementi malevoli oppure devo aspettare che tu legga il file di log?
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 24/11/09 18:11

Sì, sono imbranato. Messaggio inutile prima. ecco il log:

Malwarebytes' Anti-Malware 1.41
Versione del database: 2775
Windows 5.1.2600 Service Pack 3

24/11/2009 18.07.32
mbam-log-2009-11-24 (18-07-24).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|)
Elementi scansionati: 287547
Tempo trascorso: 55 minute(s), 21 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 6

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0000ac13-3487-1583-c4be-be6a839db000} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0000ac13-3487-1583-c4be-be6a839db000} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0000ac13-3487-1583-c4be-be6a839db000} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.AntiVirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\mfc42dx1.dll (Trojan.Vundo.H) -> No action taken.
C:\Programmi\Trend Micro\HijackThis\backups\backup-20091124-170552-989.dll (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\msmediaq.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\qviexio3.dat (Malware.Trace) -> No action taken.
D:\Documents and Settings\HelpAssistant.IO-DESK\Impostazioni locali\Temp\CD1C2FCDE84D.tmp (Trojan.Agent) -> No action taken.
D:\Documents and Settings\marco\Impostazioni locali\Temp\CD1C2FCDE84D.tmp (Trojan.Agent) -> No action taken.
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 24/11/09 18:42

Elimina tutte le infezioni rilevate;

Successivamente scarica Combofix da qui:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.
disattiva l'antivirus e disconnettiti da internet
Doppio click su combofix.exe (comparirà una schermata.)
premi Invio e segui le indicazioni (rispondi no alla proposta di installare la recovery console, non fare nulla durante la scansione, se scompaiono le icone dal desktop è normale tranquillo)
Al termine, verrà creato un file log posizionato in C:\ComboFix.txt.
Posta qui il log.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 24/11/09 19:28

ComboFix 09-11-23.06 - marco 24/11/2009 19.02.14.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1022.347 [GMT 1:00]
Eseguito da: d:\documents and settings\marco\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2622865435-891674184-249588749-1003
C:\Thumbs.db
c:\windows\system\oeminfo.ini
c:\windows\system32\Cache
c:\windows\system32\lxhsvcd.dll
c:\windows\system32\mfC42dx1.dll
c:\windows\system32\qviexio3.dat
c:\windows\Temp\tmp3.tmp
d:\docume~1\marco\IMPOST~1\Temp\204295185907.exe
d:\docume~1\marco\IMPOST~1\Temp\tmp1.tmp
d:\docume~1\marco\IMPOST~1\Temp\tmp2.tmp
d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\sgqgo.dat
d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\sgqgo.exe
d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\sgqgo_nav.dat
d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\sgqgo_navps.dat
d:\documents and settings\marco\Impostazioni locali\Dati applicazioni\sgqgo.dat
d:\documents and settings\marco\Impostazioni locali\Dati applicazioni\sgqgo.exe
d:\documents and settings\marco\Impostazioni locali\Dati applicazioni\sgqgo_nav.dat
d:\documents and settings\marco\Impostazioni locali\Dati applicazioni\sgqgo_navps.dat
d:\documents and settings\marco\Impostazioni locali\Temp\204295185907.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-10-24 al 2009-11-24 )))))))))))))))))))))))))))))))))))
.

2009-11-24 18:02 . 2006-03-02 12:00 13952 -c--a-w- c:\windows\system32\dllcache\cbidf2k.sys
2009-11-24 18:02 . 2006-03-02 12:00 13952 ----a-w- c:\windows\system32\drivers\cbidf2k.sys
2009-11-24 16:09 . 2009-11-24 16:09 -------- d-----w- d:\documents and settings\marco\Dati applicazioni\Malwarebytes
2009-11-24 16:09 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-24 16:09 . 2009-11-24 16:09 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-11-24 16:09 . 2009-11-24 16:09 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-11-24 16:09 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-23 16:38 . 2009-11-23 16:38 -------- d-----w- c:\windows\Downloaded Installations
2009-11-23 14:44 . 2009-11-23 14:44 -------- d-----w- c:\programmi\Trend Micro
2009-11-23 14:16 . 2009-11-23 14:16 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\NortonInstaller
2009-11-23 14:02 . 2009-11-23 14:02 -------- d-----w- c:\windows\system32\drivers\NSS
2009-11-23 14:02 . 2009-11-23 14:02 -------- d-----w- c:\programmi\Norton Security Scan
2009-11-23 14:02 . 2009-11-23 14:02 -------- d-----w- c:\programmi\NortonInstaller
2009-11-23 09:03 . 2009-06-14 12:41 86192 ----a-w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-11-23 08:24 . 2009-11-23 11:06 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\UserData
2009-11-23 08:24 . 2009-11-23 08:24 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\InstallAnywhere
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\WMTools Downloaded Files
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Temp
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\PCHealth
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Mozilla
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\MicroVision Applications
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Microsoft Help
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Identities
2009-11-23 08:20 . 2009-11-23 08:20 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Help
2009-11-23 08:19 . 2009-11-23 09:03 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Google
2009-11-23 08:19 . 2009-11-23 08:19 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\CutePDF Writer
2009-11-23 08:19 . 2009-11-23 08:19 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\assembly
2009-11-23 08:19 . 2009-11-23 08:19 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Apple Computer
2009-11-23 08:19 . 2009-11-23 08:19 -------- d-----w- d:\documents and settings\HelpAssistant.IO-DESK\Impostazioni locali\Dati applicazioni\Adobe
2009-11-23 07:55 . 2009-11-23 07:58 -------- d-----w- C:\STRIP_SoftwareCore
2009-11-23 07:27 . 2009-11-23 07:27 -------- d-----w- d:\documents and settings\HelpAssistant\Contacts
2009-11-15 23:58 . 2009-11-19 21:39 -------- d-----w- d:\documents and settings\marco\Impostazioni locali\Dati applicazioni\Temp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-24 16:10 . 2006-09-12 19:53 -------- d-----w- c:\programmi\File comuni\Symantec Shared
2009-11-23 16:44 . 2008-10-13 06:52 -------- d-----w- c:\programmi\eMule
2009-11-23 14:16 . 2006-09-12 19:53 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Symantec
2009-11-23 10:31 . 2006-10-18 13:22 -------- d-----w- d:\documents and settings\marco\Dati applicazioni\Skype
2009-11-23 08:30 . 2007-02-06 15:29 -------- d-----w- c:\programmi\Windows Media Connect 2
2009-11-23 08:30 . 2007-05-16 09:45 -------- d-----w- c:\programmi\Opera
2009-11-23 07:13 . 2008-05-26 08:20 832 ----a-w- c:\windows\system32\storeras.dat
2009-11-18 22:04 . 2006-10-10 21:46 -------- d-----w- c:\programmi\Google
2009-11-02 08:30 . 2004-09-03 09:37 710174 ----a-w- c:\windows\system32\perfh010.dat
2009-11-02 08:30 . 2004-09-03 09:37 167792 ----a-w- c:\windows\system32\perfc010.dat
2007-03-12 09:31 . 2007-05-16 09:47 66672 ----a-w- c:\programmi\mozilla firefox\components\jar50.dll
2007-03-12 09:31 . 2007-05-16 09:47 54376 -c--a-w- c:\programmi\mozilla firefox\components\jsd3250.dll
2007-03-12 09:31 . 2007-05-16 09:47 34952 ----a-w- c:\programmi\mozilla firefox\components\myspell.dll
2007-03-12 09:31 . 2007-05-16 09:47 46720 ----a-w- c:\programmi\mozilla firefox\components\spellchk.dll
2007-03-12 09:31 . 2007-05-16 09:47 172144 -c--a-w- c:\programmi\mozilla firefox\components\xpinstal.dll
2005-04-19 17:25 . 2007-05-16 09:45 53323 -c--a-w- c:\programmi\opera\program\plugins\PlugDef.dll
2008-04-14 02:13 . 2006-03-02 12:00 167071 --sha-r- c:\windows\system32\btoaneis.dll
2008-08-06 05:02 . 2008-08-06 05:02 16496 --sha-w- c:\windows\system32\config\systemprofile\Dati applicazioni\Microsoft\Windows NT\DiskQuota\NTDiskQuotaSidCache.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InstallareEmule"="d:\documents and settings\marco\Dati applicazioni\InstallareEmule.exe t" [X]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_8 -reboot 1" [X]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-12-08 975360]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-19 68856]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-02 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-02 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504]
"Vade Retro Outlook Express"="c:\progra~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 310272]
"DetectorApp"="c:\programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"OmniPass"="c:\apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368]
"PCMService"="c:\apps\Powercinema\PCMService.exe" [2006-02-23 147456]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2006-09-12 98304]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2006-03-02 59392]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-27 86016]
"osCheck"="c:\programmi\Norton Internet Security\osCheck.exe" [2007-01-13 771704]
"Symantec PIF AlertEng"="c:\programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"NSS"="c:\programmi\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" [2009-11-23 634760]
"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2005-10-18 557056]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-04-27 1519616]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-02-10 15969280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

d:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2007-4-17 113664]
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 06:53 49152 ----a-w- c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"c:\\APPS\\skype\\phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16463:TCP"= 16463:TCP:tcp emule
"19108:UDP"= 19108:UDP:upd emule
"3389:TCP"= 3389:TCP:Remote Desktop
"2210:TCP"= 2210:TCP:rwwixsw

R1 vcdrom;Virtual CD-ROM Device Driver;c:\programmi\VirtualCD\VCdRom.sys [19/12/2001 10.45.00 8576]
R2 BCMNTIO;BCMNTIO;c:\progra~1\CheckIt\DIAGNO~1\BCMNTIO.sys [29/03/2007 9.00.02 3744]
R2 MAPMEM;MAPMEM;c:\progra~1\CheckIt\DIAGNO~1\MAPMEM.sys [29/03/2007 9.00.02 3904]
R2 MsDtsServer;SQL Server Integration Services;c:\programmi\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [14/10/2005 1.45.44 199384]
R2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe [29/03/2007 8.02.55 554616]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [18/01/2008 22.40.11 109616]
S2 gupdate1c8f94afb9b5e7e;Google Update Service (gupdate1c8f94afb9b5e7e);c:\programmi\Google\Update\GoogleUpdate.exe [08/08/2008 12.36.19 133104]
S2 tdnojk;System Task;c:\windows\system32\svchost.exe -k netsvcs [02/03/2006 13.00.00 14336]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [24/11/2009 17.09.20 38224]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\programmi\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09/12/2005 9.39.38 2799808]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - COMHOST

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
tdnojk
.
Contenuto della cartella 'Scheduled Tasks'

2009-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2008-08-08 07:47]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2008-08-08 07:47]

2009-11-16 c:\windows\Tasks\Norton Internet Security - Scansione completa sistema - marco.job
- c:\programmi\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-01-14 01:09]

2010-01-07 c:\windows\Tasks\User_Feed_Synchronization-{4BDE2F7A-FF4A-4246-B36F-A2AA58E31AA1}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 10:58]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - d:\documents and settings\marco\Dati applicazioni\Mozilla\Firefox\Profiles\obkfhwb1.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\programmi\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programmi\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-ISUSPM Startup - c:\progra~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe
AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI
AddRemove-sgqgo - d:\documents and settings\marco\impostazioni locali\dati applicazioni\sgqgo.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-24 19:23
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x85A79F30]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28
\Driver\ACPI -> 0x85a79f30
\Driver\atapi -> atapi.sys @ 0xf7361852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x85ab6480
PacketIndicateHandler -> NDIS.sys @ 0xf71fea0d
SendHandler -> NDIS.sys @ 0xf7212b40
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql]
"ImagePath"="\"c:\programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:MSSQLSERVER"
"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\00À
[%\00«Ô’|\00\00\00\00\00\00\00\00\00\00\00\00(\00\00\00\00\00/\03pè\13\00pè\13\00\18î"


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tdnojk]
"ServiceDll"="c:\windows\system32\btoaneis.dll"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\apps\Softex\OmniPass\opxpgina.dll
.
Ora fine scansione: 2009-11-24 19:25
ComboFix-quarantined-files.txt 2009-11-24 18:25

Pre-Run: 7.781.744.640 byte disponibili
Post-Run: 8.330.539.008 byte disponibili

- - End Of File - - 8C21D8894529D28ECC6FF3A0AE84AF92
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 24/11/09 19:37

Allora hai delle infezioni (rootkit) nell' MBR;

Scarica mbr.exe da questo link:

http://www2.gmer.net/mbr/mbr.exe

salvalo sul DeskTop e mettetilo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria premendo ripetutamente F5;
Da Start - Esegui - digita C:\mbr.exe -f e clicca su OK
Salva il log prodotto come MBR ed allegalo per il controllo;

NB - Nota che tra "exe" e "-f" c'è uno spazio.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 24/11/09 19:45

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 24/11/09 19:49

bene...adesso effettua una scansione di controllo scaricando Dr.Web CureIt! da questo link:

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Una volta scaricato, doppio click su CureIt - clicca su Avvia - alla domanda Avvia ora il controllo? clicca su OK;

Al termine della prima fase clicca su "Completa scansione" e avvia cliccando sul triangolino verde;
Gli eventuali malware rilevati non eliminarli ma spostali in quarantena cliccando sul tasto Sposta.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 24/11/09 19:54

dimenticavo....posta il log che si trova in C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 25/11/09 10:26

Buongiorno.
Terminata scansione. Il file di log è ovviamente posizionato sul pc malridotto; per connettermi al forum sto usando un secondo pc. Devo perciò spostare i files di log su una pendrive. Al momento, però, il pc infettato non rileva la pendrive e così non posso allegare il file di log a questo messaggio. Di seguito riporto le segnalazioni che la scansione ha mostrato nella pagina statistiche; spero siano sufficienti, anche perché il file di log è di 82MB. La virgola separa le info che su statistiche compaioni in colonne successive: oggetto, percorso, stato, azione

1) btoaneis.dll, c:\windows\system32, win32.HLLW.Shadow.based, cancellato
2) vaderetro_oe.exe, c:\programmi\goto software\vade retro, BackDoor.Nels.11, Spostato
3) POSTOOBE.NEC, c.\drivers, VBS.Generic.278, Spostato
4) Vaderetro_oe.exe, c:\programmi\Goto Software\Vade Retro, Percorso non valido per il file
5) 204295185907.exe.vir, c:\Qoobox\Quarantine\Documents and Settings\marco\Impostazioni locali\Temp, Trojan.Starter.502, Spostato
6) 204295185907.exe, d:\Documents and Settings\HelpAssistant.IO-DESK\\Impostazioni locali\Temp, Trojan.Starter.502, Spostato
7) ComboFix.exe\32788R22FWJFW\FIND3M.bat, d:\Documents and Settings\marco\Desktop\ComboFix.exe, Probabile BATCH.Virus, ..... (colonna Azione vuota)
8) ComboFix.exe\32788R22FWJFW\List-C.bat, d:\Documents and Settings\marco\Desktop\ComboFix.exe, Probabile BATCH.Virus, ..... (colonna Azione vuota)
9) ComboFix.exe, d:\Documents and Settings\marco\Desktop, L'Archivio contiene oggetti infetti, spostato


Sono anche su Messenger: freetecno@hotmail.it
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 25/11/09 10:27

... aggiungo:

- non ho effettuato alcuna altra azione sul pc
- non ho ancora eseguito il reset
- dunque il pc è ancora in modalità provvisoria.
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 25/11/09 10:32

Ciao,

Scarica Norman SinowalMBR Cleaner da questo link:

http://www.norman.com/support/support_tools/58733/it

Doppio click su Norman_Sinowal_Cleaner.exe accetta la licensa d'uso ed avvia la scansione cliccando su Start scan;
Al termine allega il log che trovi sul Desktop col nome di NFix.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 25/11/09 10:37

la messa in quarantena degli oggetti trovati non è sufficiente, quindi ...
pensi che occorreranno altri passaggi dopo l'ultimo che indichi?

intanto il pc mi chiede continuamente di riavviare. lo faccio oppure effettuo l'ultimo passaggio che mi hai indicato?
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 25/11/09 10:39

freetecno ha scritto:la messa in quarantena degli oggetti trovati non è sufficiente, quindi ...
pensi che occorreranno altri passaggi dopo l'ultimo che indichi?

intanto il pc mi chiede continuamente di riavviare. lo faccio oppure effettuo l'ultimo passaggio che mi hai indicato?


effettua l'operazione che ti ho indicato
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 25/11/09 10:48

(scusa) inoltre:

poiché il pc infetto non rileva pendrive, non riesco a spostare l'exe norman. Il reset potrebbe risolvere? Ho provato a riconnettere il pc alla rete ma non naviga.
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi freetecno » 25/11/09 10:49

se devo effettuare rest, avvio in modalità normale o provvisoria?
freetecno
Utente Junior
 
Post: 28
Iscritto il: 23/11/09 17:17
Località: Rome, Italy

Re: HD macina continuamente, Symantec non raggiungibile

Postdi gahan » 25/11/09 10:57

freetecno ha scritto:se devo effettuare rest, avvio in modalità normale o provvisoria?


In modalità normale
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "HD macina continuamente, Symantec non raggiungibile":


Chi c’è in linea

Visitano il forum: Nessuno e 87 ospiti