Rapporto HiJackThis

[shel]

si scusa ho dimenticato

prova da provvisoria - elimina prima il file di testo che hai postato ( lo trovi in C:\)

[24gabry03]

si scusa ho dimenticato

prova da provvisoria - elimina prima il file di testo che hai postato ( lo trovi in C:\)

Allora. Ho eliminato il file di testo mbr.log in c:\ dopodichè ho avviato il pc in modalità provvisoria e da esegui ho fatto c:\mbr.exe ed ecco il nuovo report:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x0BA50E41 !

[gahan]

Ciao, hai il Master Boot Record (MBR) infetto.

Scarica Norman SinowalMBR Cleaner e salvalo sul desktop

http://download.norman.no/public/Norman ... leaner.exe

Avvia il pc in modalità provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe che hai salvato sul desktop
Comparirà una schermata:
Clicca su Accept
Schermata succssiva:
Clicca su Start Scan
Al termine della scansione, viene generato un log sul desktop.
Postalo qui.

[gahan]

Edit:
24gabry03, anche se hai eseguito già questo tool, procedi nuovamente.

[shel]

24gabry03, anche se hai eseguito già questo tool, procedi nuovamente.

@ gahan

sta gia' seguendo una discussione, lascia che finisca

grazie

[shel]

@ 24gabry03

esegui questi due tool - prevx dovrebbe rimuoverlo-

lanciali da modalita' provvisoria

http://files.surfright.nl/HitmanPro35.exe

http://info.prevx.com/downloadcsi.asp

[24gabry03]

@ 24gabry03

esegui questi due tool - prevx dovrebbe rimuoverlo-

lanciali da modalita' provvisoria

http://files.surfright.nl/HitmanPro35.exe

http://info.prevx.com/downloadcsi.asp

Li ho eseguiti entrambi in modalità provvisoria, hitmanpro mi trova 1 file sospetto che ho messo in quarantena mentre prevx non trova nulla!

[shel]

puoi darmi il nome col percorso del file trovato da hitmanpro?

[24gabry03]

puoi darmi il nome col percorso del file trovato da hitmanpro?

Eh come faccio a recuperarlo? so che me l'aveva messo in quarantena ma dove la trovo la cartella della quarantena di hitman pro? comunque ho appena rifatto la scansione con hitman da modalità provvisoria e non trova piu nulla

[24gabry03]

l'ho trovato ecco il percorso

C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0

[shel]

scusa ma il percorso esatto e'...... ??

C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0 (e qui?)

[24gabry03]

scusa ma il percorso esatto e'...... ??

C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0 (e qui?)

C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0\h5n469.dat

Il fatto è che hitmanpro me lo chiana h5n469.EXE mentre nella cartella si trota h5n469.DAT

[shel]

eliminalo con avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
incolla questa righe nella box bianca che si è aperta:


files to delete:
C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0\h5n469.dat

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Esegui nuovamente la scansione di prima con MBR, avendo cura di eliminare prima della scansione i file di testo mbr.log - li trovi in in C:\

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

Posta i due rapporti

[24gabry03]

eliminalo con avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
incolla questa righe nella box bianca che si è aperta:


files to delete:
C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0\h5n469.dat

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Esegui nuovamente la scansione di prima con MBR, avendo cura di eliminare prima della scansione i file di testo mbr.log - li trovi in in C:\

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

Posta i due rapporti

Fatto. Questo il rapporto di Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\RarSFX0\h5n469.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

E questo l'altro

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Mi sa che non è cambiato ancora nulla!

[shel]

no non sembra cambiato niente, ma almeno abbiamo eliminato un'altra minaccia

a volte pero' l'MBR risulta infetto anche se non lo e' piu

riesegui la scansione con combofix da provvisoria

sai dirmi se rispetto all'inizio della discussione trovi qualche miglioramento?....o e' tutto come prima?

[24gabry03]

no non sembra cambiato niente, ma almeno abbiamo eliminato un'altra minaccia

a volte pero' l'MBR risulta infetto anche se non lo e' piu

riesegui la scansione con combofix da provvisoria

sai dirmi se rispetto all'inizio della discussione trovi qualche miglioramento?....o e' tutto come prima?

a me non sembra cambiato molto... forse un po piu veloce nell'avviarsi...
comunque ho rifatto la scansione con combofix da provvisoria dopo che per 2 volte mi ha avvisato che c'era l'antivirus attivo, cosa che nella modalità provvisoria io non vedo(non vedo l'icona nell'antivirus in basso a destra e non compare nenache nei processi del task manager). e in piu mi ha avvisato che questa macchina non ha la console di ripristino di emergenza installata.. io ho tirato dritto ignorando tutto ed ecco il report...spero tu ci capisca qualcosa...

ComboFix 10-01-04.01 - Gabriele 09/01/2010 0.52.03.2.2 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2046.1753 [GMT 1:00]
Eseguito da: c:\documents and settings\Gabriele\Desktop\ComboFix.exe
AV: Trend Micro Internet Security *On-access scanning enabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
FW: Personal Firewall di Trend Micro *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-12-09 al 2010-01-09 )))))))))))))))))))))))))))))))))))
.

2010-01-08 23:50 . 2010-01-08 23:50 -------- d-----w- c:\documents and settings\Gabriele\log
2010-01-08 13:23 . 2010-01-08 13:23 53136 ----a-w- c:\windows\system32\PxSecure.dll
2010-01-08 13:23 . 2010-01-08 13:23 47408 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-01-08 13:23 . 2010-01-08 13:23 30280 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-01-08 13:23 . 2010-01-08 13:23 24496 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-01-08 13:23 . 2010-01-08 13:23 -------- d-----w- c:\programmi\Prevx
2010-01-08 13:23 . 2010-01-08 18:05 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PrevxCSI
2010-01-08 13:22 . 2010-01-08 13:22 12800 ----a-w- c:\windows\system32\bootdelete.exe
2010-01-08 13:18 . 2010-01-08 18:09 13896 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-01-08 13:16 . 2010-01-08 13:22 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Hitman Pro
2010-01-08 13:16 . 2010-01-08 13:16 -------- d-----w- c:\programmi\Hitman Pro 3.5
2010-01-06 21:52 . 2010-01-06 21:52 -------- d-----w- c:\documents and settings\Gabriele\DoctorWeb
2010-01-06 21:43 . 2010-01-06 21:43 92128 ---ha-w- c:\windows\system32\mlfcache.dat
2010-01-06 16:54 . 2010-01-06 16:54 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Mozilla
2010-01-06 16:33 . 2010-01-06 16:33 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\AdobeUM
2010-01-06 16:32 . 2010-01-06 16:32 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Adobe
2010-01-06 14:36 . 2010-01-06 14:36 77312 ----a-w- C:\mbr.exe
2010-01-06 11:09 . 2010-01-06 11:09 -------- d-----w- c:\programmi\CCleaner
2010-01-06 00:00 . 2010-01-06 00:00 388096 ----a-r- c:\documents and settings\Gabriele\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-06 00:00 . 2010-01-06 00:00 -------- d-----w- c:\programmi\TrendMicro
2010-01-05 19:12 . 2010-01-05 19:12 -------- d-----w- c:\documents and settings\Gabriele\Impostazioni locali\Dati applicazioni\Nokia
2010-01-05 19:12 . 2010-01-05 19:49 -------- d-----w- c:\windows\Globalization
2010-01-05 19:12 . 2010-01-05 19:12 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NokiaMusic
2010-01-04 15:26 . 2010-01-04 15:26 -------- d-----w- c:\programmi\File comuni\PCSuite
2010-01-04 15:24 . 2008-08-26 08:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-01-04 15:24 . 2010-01-04 15:24 -------- d-----w- c:\programmi\PC Connectivity Solution
2010-01-04 15:23 . 2009-10-06 10:52 7936 ----a-w- c:\windows\system32\drivers\usbser_lowerfltj.sys
2010-01-04 15:23 . 2009-10-06 10:52 7936 ----a-w- c:\windows\system32\drivers\usbser_lowerflt.sys
2010-01-04 15:23 . 2009-10-06 10:52 22016 ----a-w- c:\windows\system32\drivers\ccdcmbo.sys
2010-01-04 15:23 . 2009-10-06 10:55 1112288 ----a-w- c:\windows\system32\wdfcoinstaller01007.dll
2010-01-04 15:23 . 2009-10-06 10:52 660480 ----a-w- c:\windows\system32\nmwcdcocls.dll
2010-01-04 15:23 . 2009-10-06 10:52 17664 ----a-w- c:\windows\system32\drivers\ccdcmb.sys
2010-01-04 15:20 . 2010-01-04 15:19 34541248 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ita.exe
2010-01-04 15:20 . 2010-01-04 15:20 95232 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-01-04 15:20 . 2010-01-04 15:20 8192 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe
2010-01-04 15:20 . 2010-01-04 15:20 61440 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-01-04 15:20 . 2010-01-04 15:20 10240 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCS.exe
2010-01-03 16:14 . 2010-01-03 16:14 -------- d-----w- c:\programmi\iPod
2010-01-03 16:14 . 2010-01-03 16:15 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-01-03 16:14 . 2010-01-03 16:15 -------- d-----w- c:\programmi\iTunes
2010-01-03 16:09 . 2010-01-03 16:10 -------- d-----w- c:\programmi\QuickTime
2010-01-03 15:56 . 2010-01-03 15:56 79144 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2010-01-03 15:53 . 2010-01-03 15:53 -------- d-----w- c:\programmi\Safari
2010-01-03 15:50 . 2010-01-03 15:50 79144 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2010-01-01 18:30 . 2010-01-01 18:30 -------- d-----w- c:\documents and settings\Gabriele\Impostazioni locali\Dati applicazioni\Temp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-08 18:47 . 2007-04-14 15:30 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-06 16:40 . 2006-06-29 09:22 89264 ----a-w- c:\windows\system32\perfc010.dat
2010-01-06 16:40 . 2006-06-29 09:22 504970 ----a-w- c:\windows\system32\perfh010.dat
2010-01-05 19:50 . 2008-06-16 17:35 -------- d-----w- c:\programmi\File comuni\Nokia
2010-01-05 19:50 . 2008-04-28 11:50 -------- d-----w- c:\programmi\Nokia
2010-01-05 19:20 . 2006-10-27 01:45 131840 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-01-05 19:20 . 2008-04-28 11:52 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Nokia
2010-01-04 15:34 . 2010-01-04 15:34 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-01-04 15:34 . 2010-01-04 15:34 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-01-04 15:25 . 2008-04-28 11:50 -------- d-----w- c:\programmi\DIFX
2010-01-04 15:20 . 2008-04-28 11:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Installations
2010-01-04 15:04 . 2006-12-27 17:04 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Apple Computer
2010-01-04 13:55 . 2006-10-27 10:39 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-01-04 11:34 . 2009-10-23 18:15 -------- d-----w- c:\programmi\Alice MOBILE E1692
2010-01-04 11:31 . 2008-10-20 18:30 -------- d-----w- c:\programmi\Bonjour
2010-01-04 11:26 . 2006-10-27 10:39 -------- d-----w- c:\programmi\Sonic
2010-01-04 11:25 . 2006-10-27 10:39 -------- d-----w- c:\programmi\File comuni\InstallShield
2010-01-03 16:14 . 2008-10-20 18:27 -------- d-----w- c:\programmi\File comuni\Apple
2009-11-30 20:21 . 2006-12-27 18:17 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Skype
2009-11-25 10:00 . 2008-12-22 19:34 -------- d-----w- c:\documents and settings\Gabriele\Application Data\uTorrent
2009-11-20 17:03 . 2008-07-14 09:06 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Microgaming
2009-11-10 21:03 . 2009-04-14 18:35 -------- d-----w- c:\programmi\Docfa305
2009-11-10 19:10 . 2009-11-10 19:10 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\TomTom
2009-11-10 18:53 . 2009-11-10 18:53 -------- d-----w- c:\documents and settings\Gabriele\Application Data\TomTom
2009-11-10 18:53 . 2009-11-10 18:53 -------- d-----w- c:\programmi\TomTom International B.V
2009-11-10 18:52 . 2009-11-10 18:52 -------- d-----w- c:\programmi\TomTom HOME 2
2009-10-29 07:42 . 2006-04-11 04:00 832512 ------w- c:\windows\system32\wininet.dll
2009-10-29 07:42 . 2006-04-11 04:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:42 . 2006-04-11 04:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2006-04-11 04:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-04-11 04:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-04-11 04:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2006-04-11 04:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-04-11 04:00 150016 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 13:38 . 2006-04-11 04:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-05-15 16:42 . 2007-02-28 16:41 21 ----a-w- c:\programmi\PanaHDS.ini
2004-03-11 12:27 . 2006-12-29 10:03 40960 ----a-w- c:\programmi\Uninstall_CDS.exe
2006-12-21 16:00 . 2006-12-21 16:00 22 --sha-w- c:\windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-01-06_12.17.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-29 09:22 . 2010-01-05 19:49 75868 c:\windows\system32\perfc009.dat
+ 2006-06-29 09:22 . 2010-01-06 16:40 75868 c:\windows\system32\perfc009.dat
+ 2006-06-29 09:22 . 2010-01-06 16:40 456424 c:\windows\system32\perfh009.dat
- 2006-06-29 09:22 . 2010-01-05 19:49 456424 c:\windows\system32\perfh009.dat
+ 2006-12-21 14:49 . 2010-01-06 14:38 262144 c:\windows\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
- 2006-12-21 14:49 . 2006-10-27 02:35 262144 c:\windows\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
+ 2006-06-29 09:14 . 2010-01-06 14:40 1695744 c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"WMPNSCFG"="c:\programmi\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NokiaMServer"="c:\programmi\File comuni\Nokia\MPlatform\NokiaMServer" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-18 64512]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-27 7585792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-27 86016]
"nwiz"="nwiz.exe" [2006-09-27 1617920]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 61952]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]
"QPService"="c:\programmi\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"HP Software Update"="c:\programmi\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"DAEMON Tools-1033"="c:\programmi\D-Tools\daemon.exe" [2004-08-22 81920]
"UfSeAgnt.exe"="c:\programmi\Trend Micro\Internet Security\UfSeAgnt.exe" [2009-10-21 995528]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-09-01 149280]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"HitmanPro35"="c:\programmi\Hitman Pro 3.5\HitmanPro35.exe" [2010-01-08 4885312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Graphisoft\\ArchiCAD 11\\ArchiCAD.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [19/01/2007 15.46.48 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [19/01/2007 15.46.48 5248]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [08/01/2010 14.23.16 30280]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [08/01/2010 14.23.16 24496]
S2 CSIScanner;CSIScanner;c:\programmi\Prevx\prevx.exe [08/01/2010 14.23.15 6222312]
S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [08/01/2010 14.23.16 47408]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [22/02/2009 18.24.17 50192]
S2 TmPfw;Trend Micro Personal Firewall;c:\programmi\Trend Micro\Internet Security\TmPfw.exe [22/02/2009 18.24.48 497008]
S2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [22/02/2009 18.27.17 36368]
S2 TmProxy;Trend Micro Proxy Service;c:\programmi\Trend Micro\Internet Security\TmProxy.exe [22/02/2009 18.24.54 677128]
S2 TomTomHOMEService;TomTomHOMEService;c:\programmi\TomTom HOME 2\TomTomHOMEService.exe [27/08/2009 16.05.04 92008]
S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [06/06/2006 21.39.56 61952]
S3 DCamUSBSTK02N;Standard Camera;c:\windows\system32\DRIVERS\STK02NW2.sys --> c:\windows\system32\DRIVERS\STK02NW2.sys [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys --> c:\windows\system32\DRIVERS\ewusbfake.sys [?]
S3 MODBDA2;DiBcom MOD3000 TV receiver;c:\windows\system32\drivers\modbda2.sys [13/06/2006 2.53.28 33024]
S3 NDISKIO;NDISKIO;\??\c:\docume~1\Gabriele\IMPOST~1\Temp\4867fb68.nmc\nse\bin\ndiskio.sys --> c:\docume~1\Gabriele\IMPOST~1\Temp\4867fb68.nmc\nse\bin\ndiskio.sys [?]
S3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [08/10/2008 12.43.06 335376]
S3 UnhookMBRS;UnhookMBRS;\??\c:\docume~1\Gabriele\IMPOST~1\Temp\4867fb68.nmc\nse\bin\unhookmbrs.sys --> c:\docume~1\Gabriele\IMPOST~1\Temp\4867fb68.nmc\nse\bin\unhookmbrs.sys [?]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - MDMXSDK
.
Contenuto della cartella 'Scheduled Tasks'

2010-01-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-01-08 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 15:04]

2010-01-08 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 15:04]

2007-05-01 c:\windows\Tasks\Servizi Internet.job
- c:\programmi\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 10:23]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/index.html
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
TCP: {D7A877F8-E978-4C96-877F-EA094740DB3A} = 151.99.125.1,151.99.0.100
DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://it.pixaco.de/static/download/pixacodndupload.cab
DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - hxxp://www.cartografia.regione.lombardi ... ns/ncs.cab
FF - ProfilePath - c:\documents and settings\Gabriele\Application Data\Mozilla\Firefox\Profiles\nclnqcs5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/result ... EF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - igoogle.it
FF - component: c:\programmi\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 01:04
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????L?@??????_??????`?@?????L?@

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1496)
c:\windows\system32\WININET.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\programmi\iTunes\iTunesMiniPlayer.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\it.lproj\iTunesMiniPlayerLocalized.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
.
Ora fine scansione: 2010-01-09 01:07:03
ComboFix-quarantined-files.txt 2010-01-09 00:06

Pre-Run: 7.973.371.904 byte disponibili
Post-Run: 8.074.227.712 byte disponibili

- - End Of File - - 5E6341D1BD2D65D99083EF4F15D3F9C7

[shel]

ciao

sembra esserci anche lo ''zampino'' del bagle.......

scarica http://dc108.4shared.com/download/75022 ... 1-de3379fb

Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt


riesegui anche
http://files.surfright.nl/HitmanPro35.exe
controlla se trova l'eseguibile che prima ti segnalava

[24gabry03]

ciao

sembra esserci anche lo ''zampino'' del bagle.......

scarica http://dc108.4shared.com/download/75022 ... 1-de3379fb

Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt


riesegui anche
http://files.surfright.nl/HitmanPro35.exe
controlla se trova l'eseguibile che prima ti segnalava

ciao. queste due operazioni le faccio in modalità provvisoria o va bene anche normale?

[24gabry03]

altra cosa,, chiudere tutte le applicazioni attive nel senso di non avere nulla di aperto compresi browser per internet? o devo proprio chiudere qualsiasi cosa anche dall'angolo in basso a destra?

[shel]

eseguile da modalita' provvisoria, e' meglio

intanto ti comunico che combofix non rileva piu' l'infezione nel MBR......mah!!! vedremo cosa fare

nel frattempo esegui queste due scansioni e posta i rapporti

devi chiudere i programmi, se ne hai aperto qualcuno o qualche pagina aperta, la scansione non deve interferire con niente