combofix, chi mi aiuta a fare pulizia?

di **mrgini** » 22/05/09 12:54

Ciao e grazie per chi si interessa del caso...
Ho virus autorun e questo è il log , cosad evo fare?

ComboFix 09-05-20.A0 - Administrator 21/05/09 12.34.53.1 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.510.401 [GMT 2:00]
Eseguito da: c:\documents and settings\Ciccio\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
C:\xh319r9b.bat
D:\Autorun.inf
D:\icxpa.cmd
D:\ukvr.bat
D:\xh319r9b.bat

.
((((((((((((((((((((((((( Files Creati Da 2009-04-21 al 2009-05-21 )))))))))))))))))))))))))))))))))))
.

2009-05-20 18:54 . 2009-05-20 18:54 -------- d-----w c:\documents and settings\Ciccio\Contacts
2009-05-20 17:22 . 2009-05-20 18:53 -------- d-----w c:\documents and settings\Ciccio\Impostazioni locali\Dati applicazioni\Google
2009-05-20 17:11 . 2009-05-20 17:31 -------- d-----w c:\programmi\Google
2009-05-20 16:50 . 2009-05-20 16:51 -------- d-----w c:\programmi\eMule
2009-05-20 16:05 . 2009-05-20 16:05 -------- d-----w c:\programmi\Trend Micro
2009-05-19 18:15 . 2009-05-19 18:15 -------- d-----w c:\documents and settings\Ciccio\Dati applicazioni\Motive
2009-05-15 07:23 . 2009-05-15 07:23 -------- d-----w c:\windows\Motive
2009-05-15 07:22 . 2009-05-15 07:22 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Motive
2009-05-15 07:22 . 2009-05-15 07:22 -------- d-----w c:\programmi\File comuni\Motive
2009-05-15 07:22 . 2009-05-15 07:22 -------- d-----w c:\programmi\Common Files
2009-05-15 07:22 . 2009-05-15 07:22 -------- d-----w c:\programmi\Motive
2009-05-15 07:21 . 2009-05-15 07:23 -------- d-----w c:\programmi\Alice ti aiuta
2009-05-15 07:21 . 2002-10-17 18:44 46352 ----a-w c:\windows\setdebug.exe
2009-05-15 07:21 . 2002-10-17 18:44 171280 ----a-w c:\windows\system32\jit.dll
2009-05-15 07:21 . 2002-10-17 18:44 139536 ----a-w c:\windows\system32\javaee.dll
2009-05-15 07:21 . 2002-10-17 17:08 6550 ----a-w c:\windows\jautoexp.dat
2009-05-15 07:21 . 2002-10-17 17:07 313856 ----a-w c:\windows\system32\dx3j.dll
2009-05-15 07:10 . 2009-05-20 16:30 -------- d-----w c:\programmi\Telecom Italia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-20 16:31 . 2006-11-01 15:47 -------- d--h--w c:\programmi\InstallShield Installation Information
2009-05-20 16:13 . 2006-11-01 18:02 -------- d-----w c:\programmi\Eset
2009-05-15 07:46 . 2004-08-19 12:00 61622 ----a-w c:\windows\system32\perfc010.dat
2009-05-15 07:46 . 2004-08-19 12:00 420712 ----a-w c:\windows\system32\perfh010.dat
2009-05-15 07:21 . 2009-05-15 07:21 2232 ----a-w c:\windows\java\Packages\Data\J3FHFNB1.DAT
2009-05-15 07:21 . 2009-05-15 07:21 155995 ----a-w c:\windows\java\Packages\WVF5RZTV.ZIP
2009-05-15 07:21 . 2009-05-15 07:21 2678 ----a-w c:\windows\java\Packages\Data\HNRHV793.DAT
2009-05-15 07:21 . 2009-05-15 07:21 2678 ----a-w c:\windows\java\Packages\Data\DF137FRV.DAT
2009-05-15 07:21 . 2009-05-15 07:21 2678 ----a-w c:\windows\java\Packages\Data\V337XJJX.DAT
2009-05-15 07:21 . 2009-05-15 07:21 2678 ----a-w c:\windows\java\Packages\Data\9NTJJXVX.DAT
2009-05-15 07:21 . 2009-05-15 07:21 2678 ----a-w c:\windows\java\Packages\Data\MQWEB5BX.DAT
2005-11-25 21:10 . 2006-11-01 17:56 5529600 -c--a-w c:\programmi\Media Player Classic.exe
2004-08-19 12:00 . 2006-11-01 16:12 73728 -csha-w c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"SoundMAXPnP"="c:\programmi\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"Apoint"="c:\programmi\Apoint2K\Apoint.exe" [2005-02-08 159744]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-05-04 794624]
"Outpost Firewall"="c:\programmi\Agnitum\Outpost Firewall\outpost.exe" [2005-06-03 89600]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2007-11-25 921600]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-04-13 88209]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2009-5-15 217088]
BTTray.lnk - c:\programmi\WIDCOMM\Software Bluetooth\BTTray.exe [2005-5-31 577597]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\msncall.exe"=

S1 VFILT;Outpost Firewall Kernel Driver;c:\progra~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS [01/11/06 8.12.03 113408]
S2 gearsec;gearsec;c:\windows\system32\gearsec.exe [02/12/03 8.49.00 53248]
S2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [15/05/09 9.12.09 8192]
S2 PDSched;PDScheduler;c:\programmi\Raxco\PerfectDisk\PDSched.exe [29/11/05 12.16.46 241731]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\ADBLOCK.DLL [01/11/06 8.12.03 33440]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]
S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\CONTENT.DLL [01/11/06 8.12.03 4864]
S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\DNSCACHE.DLL [01/11/06 8.12.03 12192]
S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\FTPFILT.DLL [01/11/06 8.12.03 8960]
S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\HTMLFILT.DLL [01/11/06 8.12.03 11520]
S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\HTTPFILT.DLL [01/11/06 8.12.03 13248]
S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\IMAPFILT.DLL [01/11/06 8.12.03 7168]
S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\MAILFILT.DLL [01/11/06 8.12.03 14720]
S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\NNTPFILT.DLL [01/11/06 8.12.03 6752]
S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\POP3FILT.DLL [01/11/06 8.12.03 9952]
S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\PROTECT.DLL [01/11/06 8.12.03 16000]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - AVPSYS
*NewlyCreated* - DGIVECP
*NewlyCreated* - PARPORT
*NewlyCreated* - SSPORT
.
.
------- Scansione supplementare -------
.
LSP: c:\windows\system32\imon.dll
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 12:37
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(220)
c:\progra~1\Agnitum\OUTPOS~1\wl_hook.dll
c:\progra~1\Agnitum\OUTPOS~1\wl_hdlr.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-05-21 12.39.46
ComboFix-quarantined-files.txt 2009-05-21 10:39

Pre-Run: 61.072.355.328 byte disponibili
Post-Run: 61.551.042.560 byte disponibili

137

di **shel** » 22/05/09 13:46

ciao

autorun.inf e' stato eliminato da combofix- rimangono altre infezioni da togliere

Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla queste righe nella box bianca che si è aperta:

files to delete:
c:\windows\java\Packages\Data\J3FHFNB1.DAT
c:\windows\java\Packages\WVF5RZTV.ZIP
c:\windows\java\Packages\Data\HNRHV793.DAT
c:\windows\java\Packages\Data\DF137FRV.DAT
c:\windows\java\Packages\Data\V337XJJX.DAT
c:\windows\java\Packages\Data\9NTJJXVX.DAT
c:\windows\java\Packages\Data\MQWEB5BX.DAT

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

di **mrgini** » 22/05/09 15:24

grazie ti faccio sapere appena fatto...

e da quest'altro desktop che faccio?

grazie ti faccio sapere appena fatto...

e da quest'altro desktop che faccio?

ComboFix 09-05-19.08 - Administrator 20/05/2009 20.33.08.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.447.310 [GMT 2:00]
Eseguito da: c:\documents and settings\box\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\box\Dati applicazioni\inst.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-04-20 al 2009-05-20 )))))))))))))))))))))))))))))))))))
.

2009-05-20 18:30 . 2008-11-03 14:16 -------- d--h--w c:\documents and settings\Administrator\Risorse di rete
2009-05-20 18:30 . 2008-11-03 14:16 -------- d--h--w c:\documents and settings\Administrator\Risorse di stampa
2009-05-20 18:30 . 2009-05-20 18:30 -------- d-----w c:\documents and settings\Administrator
2009-04-26 10:58 . 2009-04-26 10:58 -------- d-----w c:\documents and settings\box\Impostazioni locali\Dati applicazioni\Downloaded Installations
2009-04-25 19:35 . 2003-11-04 13:10 69632 ----a-w c:\windows\system32\lfgif13n.dll
2009-04-25 19:35 . 2004-01-12 00:09 206336 ----a-w c:\windows\system32\ltefx13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 401408 ----a-w c:\windows\system32\lfcmp13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 57344 ----a-w c:\windows\system32\lfbmp13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 450560 ----a-w c:\windows\system32\ltimg13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 299008 ----a-w c:\windows\system32\ltdis13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 163840 ----a-w c:\windows\system32\ltfil13n.dll
2009-04-25 19:35 . 2004-05-14 14:53 462848 ----a-w c:\windows\system32\ltkrn13n.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 13:36 . 2008-11-04 12:50 -------- d-----w c:\programmi\VirtualDubMod1.5.10.2
2009-04-22 13:21 . 2009-01-28 10:55 -------- d-----w c:\programmi\Xvid
2009-04-19 15:59 . 2009-04-19 15:58 -------- d-----w c:\programmi\ImgBurn
2009-04-06 16:07 . 2001-08-31 11:00 78864 ----a-w c:\windows\system32\perfc010.dat
2009-04-06 16:07 . 2001-08-31 11:00 477476 ----a-w c:\windows\system32\perfh010.dat
2009-04-06 12:03 . 2009-03-18 15:59 133632 ----a-w c:\windows\system32\SpoonUninstall.exe
2009-04-04 10:45 . 2008-11-03 13:55 37360 ----a-w c:\documents and settings\box\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-03-31 14:04 . 2009-03-31 14:04 -------- d-----w c:\programmi\Trend Micro
2009-03-26 14:46 . 2009-03-26 14:46 -------- d-----w c:\programmi\Microsoft
1999-10-25 10:35 . 2008-11-03 15:24 9488 ----a-w c:\programmi\CLEARMEM.EXE
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.exe.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^EPSON Status Monitor 3 Environment Check 2.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\EPSON Status Monitor 3 Environment Check 2.lnk
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PDEngine"=3 (0x3)
"PDAgent"=3 (0x3)
"ose"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=

- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-Locked - (no file)

.
------- Scansione supplementare -------
.
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-20 20:35
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-05-20 20.37.43
ComboFix-quarantined-files.txt 2009-05-20 18:37

Pre-Run: 13.641.105.408 byte disponibili
Post-Run: 13.789.966.336 byte disponibili

124

di **shel** » 22/05/09 15:51

e da quest'altro desktop che faccio?

ma hai rieseguito combofix?

di **mrgini** » 22/05/09 18:34

no quello è combofix di altro pc

c'è qualcosa da pulire?

di **shel** » 22/05/09 18:43

finiamo con il primo log, semmai alla fine controlliamo l'altro

esegui quello che ti ho postato

di **mrgini** » 22/05/09 20:40

hai ragione per non fare canfusione
il fatto è che devo attendere il mio amico che mi manda il log di combofix visto che gliel'ho insegnato a fare la prima volta

e non so quando farà il tutto visto che con l'informatica non va d'accordo (dovrei andare a casa sua per farlo personalmente)

cmq se puoi per non fare confusione mi mandi la risposta per msg privati relativo al secondo log (che riguarda il mio pc)

grazie in ogni casobuona serataaaaaa

di **shel** » 22/05/09 20:42

se non ho i risultati della scansione non posso andare avanti

per quello che riguarda l'assistenza in privato, e' vietato dal regolamento

di **mrgini** » 22/05/09 23:02

forse non mi son spiegato bene

per la nuova scansione con combofix del pc relativo al primo log postato è necessario attendere che il mio amico faccia l'operazione con avenger e mi invii per email il nuovo log di combofix come mi avete richiesto. Non so quando il mio amico farà tale operazione, puo' essere anche la settimana prossima.

per quanto riguarda invece il secondo log postato e che riguarda il MIO pc (viewtopic.php?f=7&t=80451#p457696), cosa devo fare affinchè possiate aiutarmi senza attendere la prossima settimana? Devo aprire un nuovo thread nel forum?

spero che ora avete compreso il problema

notteee

di **Luke57** » 23/05/09 09:13

Ciao, il tuo report non evidenzia infezioni, quando avrai il report di avenger del tuo amico continua pure qui.

di **mrgini** » 23/05/09 12:31

grazie infinite della risposta.
nemmeno i vari lfgif13n.dll ltefx13n.dll etc di system32 ?

appena il mio amico mi manda il suo nuovo log lo girerò su questo forum, grazie ancora della squisita accoglienza! ciaooo

combofix, chi mi aiuta a fare pulizia?

combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Re: combofix, chi mi aiuta a fare pulizia?

Topic correlati a "combofix, chi mi aiuta a fare pulizia?":

Chi c’è in linea