Security Center e Antivirus2010

di **marcozenon** » 20/10/10 16:16

Buonasera a tutti. HO un problema e dai vostri vecchi topics non trovo la soluzione, e se invece c'è, scusate, ma non l'ho trovata in 20 minuti!
Non so come, mi son trovato un WIndows Security Center che si avvia automaticamente ad ogni avvio del pc. Appena si avvia, mi installa automaticamente un Antivirus 2010 e non ne esco più...
Mi toglie l'accesso a qualsiasi cosa: antivirus, spybot, adware, hijackthis, ccleaner, e quello che è già installato, me lo cancella.
In modalità provvisoria ho provato a cancellare nel registro tutto ciò che riguarda SecurityCenter e AnVi (la cartella di antivirus2010)... ma niente, ad ogni riavvio riparte il tutto.
Appena riesco prendo il log di hijackthis e ve lo posto, ma ora mi è impossibile.
Tolgo AnVi e appena riaccendo il pc sono daccapo e me lo rinstalla.
Sapete darmi qualche dritta nel frattempo?
Grazie

di **marcozenon** » 20/10/10 17:11

AGGIORNAMENTO:
Ho visto che in Tutti i Programmi -> Esecuzione Automatica mi si inserisce un file updyrb32.exe e probabilkmnete è quelo che fa partire il Security Center. L'ho tolto, ho tolto pure la chiamata dal registro.. eppure rifà tutto allo stesso modo. Chi genera questo file .exe? e dove lo scovo?
Spero possiate aiutarmi! grazie di nuovo

di **marcozenon** » 20/10/10 17:27

Ah scordavo: notizia importante è che il TaskManager è non raggiungibile, sia cliccando col destro sulla barra blu in basso, sia facendo CTRL-ALT-CANC; sempre disattivato!!

di **FDAC** » 20/10/10 17:58

Scarica ComboFix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\pippo.exe" /killall
Premi OK, si dovrebbe avviare la scansione.

di **marcozenon** » 21/10/10 07:32

Intanto grazie. Fra un paio d'ore proverò i tuoi suggerimenti.
Domanda: il modem va staccato fisicamente. Per modem cosa intendi? io uso la scheda di rete integrata e mi riesce difficile disinserirla!
Intanto aggiorno nuovamente: con le ultime manomissioni del registro con regedit, ho raggiunto l'obiettivo di non fare partire più windows security e di conseguenza neppure l'installazione di antivirus2010. Il problema è che tutto il sistema sembra un po' "bloccato", tanto che ancora il TaskManager non è selezionabile in alcun modo come prima, e quando provo a spegnere, non si spegne il pc.
Non vorrei avere cancellato dal registro qualcosa di troppo...
Ho il cd di XP: ieri ho provato a ripristinare il sistema operativo ma non mi ha dato niente da ripristinare...

di **marcozenon** » 21/10/10 09:33

Sto provando il ComboFix: dapprima mi chiede di creare un Punto di Rispristino, ma mi chiede la connessione ad internet e non vorrei mettercela (dato che il pc è in rete con altri e non vorrei creare problemi in giro...)
Dico di NO alla richiesta del Punto di Rispristino e comincia a fare qualcosa: ma mi dà una sfilza di ACCESSO NEGATO... almeno 7... e pare non andare avanti; ora lo sto lasciando lì, vedaimo che sucede, ma sono abbastanza pessimista

di **FDAC** » 21/10/10 12:57

Ciao.
Ovvio che non devi staccare FISICAMENTE la scheda di rete interna, solamente staccare i cavi.
Combofix funziona anche senza rete.
Basta scaricarlo su una chiavetta, e poi lo trascini sul desktop e da li lo esegui con le mie istruzioni.
Dovrebbe funzionare.
Visto che in modalità normale non si riesce a combinare nulla, proviamo dalla modalità provvisoria:

* Riavvia il pc
* in fase di avvio, premi ripetutamente il tasto F8 fino a visualizzare il menu Opzioni avanzate di Windows.
* Usando i tasti freccia sulla tastiera, scorri le opzioni e seleziona il menu "Modalità provvisoria con supporto di rete"
* quindi premi "Invio".

POI posta il log.
Ciao!

di **marcozenon** » 21/10/10 13:14

Io continuo a ringraziare.
Un mio amico mi ha dato HIREN BOOT CD. Usando questo, sono riuscito a cancellare qualcosa con Spybot e CCleaner. Poi ho rilanciato ComboFix e seguito i passi che dicevi tu. Al momento, sembra che l'infezione non parta e soprattutto TaskManager è riapparso.. COntinua però ad avere difficoltà in spegnimento: se io spengo il pc, ci pensa su parecchi minuti e poi finalmente si spegne. Continuo a vedere un po'...

di **marcozenon** » 21/10/10 13:22

ComboFix 10-10-20.04 - pc 21/10/2010 14.05.57.1.2 - x86
Eseguito da: C:\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\desktop.ini
c:\documents and settings\All Users\Dati applicazioni\.wtav
c:\documents and settings\pc\Dati applicazioni\avdrn.dat
C:\index.htm
C:\Install.exe
c:\programmi\AnVi
C:\Thumbs.db
c:\windows\PRAGMApwmdxvncvk
c:\windows\PRAGMAyfqjixncbv
c:\windows\PRAGMAyfqjixncbv\PRAGMAc.dll
c:\windows\PRAGMAyfqjixncbv\PRAGMAcfg.ini
c:\windows\PRAGMAyfqjixncbv\PRAGMAd.sys
c:\windows\PRAGMAyfqjixncbv\PRAGMAsrcr.dat
c:\windows\ST6UNST.000
c:\windows\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\drivers\hwinterface.sys
c:\windows\System32\drivers\vbma39d2.sys
c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PRAGMAPWMDXVNCVK
-------\Legacy_PRAGMAYFQJIXNCBV
-------\Service_PRAGMApwmdxvncvk
-------\Service_PRAGMAyfqjixncbv
-------\Legacy_hwinterface
-------\Service_hwinterface
-------\Service_vbma39d2

((((((((((((((((((((((((( Files Creati Da 2010-09-21 al 2010-10-21 )))))))))))))))))))))))))))))))))))
.

2010-10-20 14:12 . 2010-10-20 14:12 110080 ----a-r- c:\documents and settings\pc\Dati applicazioni\Microsoft\Installer\{9EFA7323-47A0-48E2-8F77-35DB5EED500A}\IconF7A21AF7.exe
2010-10-20 14:12 . 2010-10-20 14:12 110080 ----a-r- c:\documents and settings\pc\Dati applicazioni\Microsoft\Installer\{9EFA7323-47A0-48E2-8F77-35DB5EED500A}\IconD7F16134.exe
2010-10-20 14:12 . 2010-10-20 14:12 -------- d-----w- C:\sh4ldr
2010-10-20 14:12 . 2010-10-20 14:12 -------- d-----w- c:\programmi\Enigma Software Group
2010-10-20 14:12 . 2010-10-20 14:12 -------- d-----w- c:\windows\9EFA732347A048E28F7735DB5EED500A.TMP
2010-10-20 14:12 . 2010-10-20 14:12 -------- d-----w- c:\programmi\File comuni\Wise Installation Wizard
2010-10-20 13:42 . 2010-10-20 13:42 -------- d-----w- c:\documents and settings\pc\Dati applicazioni\Malwarebytes
2010-10-20 13:42 . 2010-10-20 15:15 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-10-20 13:42 . 2010-10-20 13:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-10-20 11:03 . 2010-10-20 12:49 -------- d-----w- C:\!KillBox
2010-10-20 11:02 . 2010-09-20 13:49 92672 ----a-w- C:\KillBox.exe
2010-10-20 09:09 . 2010-10-20 09:09 -------- d-----w- c:\documents and settings\pc\Dati applicazioni\Apple Computer
2010-10-19 15:47 . 2010-10-19 15:47 -------- d-----w- c:\programmi\File comuni\Skype
2010-10-19 15:32 . 2010-10-19 15:32 -------- d-----w- c:\documents and settings\pc\Impostazioni locali\Dati applicazioni\Sunbelt Software
2010-10-19 15:32 . 2010-10-20 15:17 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{E961CE1B-C3EA-4882-9F67-F859B555D097}
2010-10-15 10:46 . 2010-10-15 10:46 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\CMUV
2010-10-15 08:10 . 2010-10-15 08:10 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Technisat
2010-10-15 08:10 . 2010-10-15 08:10 -------- d-----w- c:\programmi\DVBViewer TE2
2010-10-15 08:10 . 2010-10-15 08:10 -------- d-----w- c:\programmi\MainConcept
2010-10-15 08:09 . 2010-10-15 08:11 -------- d-----w- c:\programmi\TechniSat DVB
2010-10-15 08:09 . 2005-11-13 21:22 757760 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\iKernel.dll
2010-10-15 08:09 . 2005-11-13 21:22 69715 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\ctor.dll
2010-10-15 08:09 . 2005-11-13 21:21 274432 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\iscript.dll
2010-10-15 08:09 . 2005-11-13 21:20 204800 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\iuser.dll
2010-10-15 08:09 . 2005-11-13 21:19 5632 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\DotNetInstaller.exe
2010-10-15 08:09 . 2010-10-15 08:09 331908 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\setup.dll
2010-10-15 08:09 . 2010-10-15 08:09 200836 ----a-w- c:\programmi\File comuni\InstallShield\Professional\RunTime\11\50\Intel32\iGdi.dll
2010-10-15 07:53 . 2010-05-10 07:09 627288 ----a-w- c:\windows\system32\drivers\SkyNET.sys
2010-10-14 05:37 . 2010-10-21 11:57 -------- d-----w- c:\documents and settings\pc\Dati applicazioni\Toqalu
2010-10-08 11:25 . 2009-05-14 10:54 143360 ----a-w- c:\windows\system32\wdapi1001.dll
2010-10-08 11:25 . 2006-10-18 13:29 102400 ----a-w- c:\windows\system32\wdapi811.dll
2010-10-08 11:25 . 2002-01-05 01:37 344064 ----a-w- c:\windows\system32\msvcr70.dll
2010-10-08 11:25 . 2009-07-07 06:31 290904 ----a-w- c:\windows\system32\vc6-re200l.dll
2010-10-08 11:25 . 2009-07-07 06:31 73728 ----a-w- c:\windows\system32\RWUXThemeS.dll
2010-10-08 11:25 . 2009-05-20 10:46 5752320 ----a-w- c:\windows\system32\BCGCBPRO103090.dll
2010-10-08 11:25 . 2009-01-29 15:25 4419584 ----a-w- c:\windows\system32\BCGCBPRO10180.dll
2010-10-08 11:21 . 2010-10-08 11:28 -------- d-----w- C:\avr
2010-10-01 09:29 . 2010-10-21 12:16 -------- d-----w- c:\documents and settings\pc\Impostazioni locali\Dati applicazioni\LogMeIn Hamachi
2010-10-01 09:29 . 2010-10-21 12:16 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\LogMeIn Hamachi
2010-10-01 09:28 . 2010-10-01 09:28 -------- d-----w- c:\programmi\LogMeIn Hamachi
2010-09-22 15:54 . 2010-09-22 15:55 -------- d--h--w- c:\windows\msdownld.tmp
2010-09-22 15:54 . 2010-09-22 15:54 -------- d-----w- c:\programmi\Windows Media Components
2010-09-22 15:52 . 2005-01-14 07:32 53248 ----a-w- c:\windows\system32\PAStiSvc.exe
2010-09-22 15:51 . 2010-09-22 15:54 -------- d-----w- c:\programmi\PC Camera
2010-09-22 15:51 . 2010-09-22 15:51 -------- d-----w- c:\windows\PixArt
2010-09-22 15:51 . 2010-09-22 15:51 -------- d-----w- c:\programmi\File comuni\PCCamera

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-02-21 21:51 . 2007-06-26 09:27 66672 ----a-w- c:\programmi\mozilla firefox\components\jar50.dll
2007-02-21 21:51 . 2007-06-26 09:27 54376 ----a-w- c:\programmi\mozilla firefox\components\jsd3250.dll
2007-02-21 21:51 . 2007-06-26 09:27 34952 ----a-w- c:\programmi\mozilla firefox\components\myspell.dll
2007-02-21 21:51 . 2007-06-26 09:27 46720 ----a-w- c:\programmi\mozilla firefox\components\spellchk.dll
2007-02-21 21:51 . 2007-06-26 09:27 172144 ----a-w- c:\programmi\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programmi\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"EPSON Stylus Photo R200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I2H1.EXE" [2003-07-08 99840]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-02 110592]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"DAEMON Tools"="c:\programmi\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-09-05 417792]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2010-03-23 202256]
"PCMAgent"="c:\programmi\CyberLink\PowerCinema\PCMAgent.exe" [2008-10-21 143360]
"CLMLServer"="c:\programmi\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-10-21 196608]
"TVEService"="c:\programmi\CyberLink\TV Enhance\TVEService.exe" [2008-11-28 180224]
"PlayMovie"="c:\programmi\CyberLink\PlayMovie\PMVService.exe" [2008-09-24 172032]
"LogMeIn Hamachi Ui"="c:\programmi\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"DivXUpdate"="c:\programmi\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SpyHunter Security Suite"="c:\programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe" [2010-09-21 4086104]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Server4PC.lnk - c:\programmi\TechniSat DVB\bin\Server4PC.exe [2010-10-15 309848]
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - c:\programmi\File comuni\Autodesk Shared\acstart17.exe [2006-3-5 11000]
VOIP321.lnk - c:\programmi\Philips\VOIP321\VOIP321.exe [2006-8-29 771072]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programmi\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programmi\\TVAnts\\Tvants.exe"=
"c:\\Programmi\\Digi\\XCTU\\X-CTU.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\COOL.STF\\TSReaderLite\\TSReaderLite.exe"=
"c:\\idirect\\isite\\iSite.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programmi\\CyberLink\\PlayMovie\\PlayMovie.exe"=
"c:\\Programmi\\CyberLink\\PlayMovie\\PMVService.exe"=
"c:\\Programmi\\CyberLink\\TV Enhance\\TVEnhance.exe"=
"c:\\Programmi\\CyberLink\\TV Enhance\\TVEService.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9001:UDP"= 9001:UDP:iDirect
"47553:UDP"= 47553:UDP:bbiitt
"4662:TCP"= 4662:TCP:emule TCP
"4672:UDP"= 4672:UDP:emule UDP

R1 UserPort;UserPort;c:\windows\system32\drivers\UserPort.sys [17/09/2007 11.16.43 4256]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\programmi\CyberLink\PlayMovie\000.fcl [05/07/2010 12.14.15 61424]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programmi\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11.16.12 1107336]
R2 MapMemPlus;MapMemPlus;c:\windows\system32\drivers\MapMemPlus.sys [17/09/2007 10.09.50 63136]
R2 PortTalk;PortTalk;c:\windows\system32\drivers\porttalk.sys [17/09/2007 11.48.46 3567]
R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [21/09/2010 14.51.54 327000]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programmi\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe [05/07/2010 12.16.06 372831]
R2 TVESched;TVEnhance Task Scheduler (TTS));c:\programmi\CyberLink\TV Enhance\Kernel\TV\TVESched.exe [05/07/2010 12.16.06 184413]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [22/03/2007 14.17.16 21632]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNET.sys [15/10/2010 9.53.48 627288]
R3 SNXPCARD;Sunix PCI Multi I/O Card Driver;c:\windows\system32\drivers\snxpcard.sys [19/02/2008 11.08.34 20864]
R3 SNXPSERX;Sunix PCI Serial Port Driver;c:\windows\system32\drivers\snxpserx.sys [19/02/2008 11.08.53 54528]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programmi\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programmi\Lavasoft\Ad-Aware\AAWService.exe [?]
S3 5DE6C4AB;5DE6C4AB; [x]
S3 ce6230;Intel CE6230 Standalone USB Driver;c:\windows\system32\drivers\CE6230StandaloneDriver.sys [09/10/2008 9.47.38 44800]
S3 ce6230BDACAP;Realfine CE6230 BDA Driver;c:\windows\system32\drivers\CE6230BDA.sys [09/10/2008 9.47.39 19328]
S3 Cebal;Cebal Driver (cebal.sys);c:\windows\system32\drivers\cebal.sys [23/09/2009 10.10.05 22912]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [19/07/2010 14.23.14 3584]
S3 E1USB;Renesas E-Series USB Driver;c:\windows\system32\drivers\E1usb.sys [06/03/2008 14.41.57 46976]
S3 HmseUsb;FDM;c:\windows\system32\drivers\HmseUsb.sys [06/03/2008 14.41.57 26368]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programmi\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programmi\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [29/06/2007 2.01.48 42512]
S3 PAC207;USB PC Cam Plus;c:\windows\system32\drivers\PFC027.sys [24/02/2005 12.29.14 162176]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28/10/2008 15.38.32 642560]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
Contenuto della cartella 'Scheduled Tasks'

2010-10-20 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2010-10-21 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2010-10-21 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-299502267-73586283-725345543-1003.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-10-20 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-299502267-73586283-725345543-1003.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.yahoo.com/
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/def ... earch.html
uInternet Settings,ProxyOverride = local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/def ... .yahoo.com
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Read with DeskBot
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {4819DFDF-ABC4-488C-A323-919848C51175}
DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} - hxxp://www.myremotevision.com/WinWebPush.cab
FF - ProfilePath - c:\documents and settings\pc\Dati applicazioni\Mozilla\Firefox\Profiles\2s95x5m5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www2.firesearch.com/
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?fr=ffsp1&p=
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=ffds1&p=
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=ffds1&p=
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=ffds1&p=
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=ffds1&p=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - component: c:\documents and settings\pc\Dati applicazioni\Mozilla\Firefox\Profiles\2s95x5m5.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
FF - component: c:\documents and settings\pc\Dati applicazioni\Mozilla\Firefox\Profiles\2s95x5m5.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
FF - component: c:\progra~1\MOZILL~1\extensions\talkback@mozilla.org\components\qfaservices.dll
FF - component: c:\programmi\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-wuaucldt - c:\documents and settings\pc\wuaucldt.exe
HKLM-Run-\\Antenna\EPSON Stylus D88 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
HKLM-Run-Automatico EPSON Stylus D88 Series su CRISTINA - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\programmi\CyberLink\PlayMovie\000.fcl"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3348)
c:\windows\system32\WPDShServiceObj.dll
c:\programmi\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programmi\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programmi\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ita.nlr
c:\programmi\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\programmi\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\windows\system32\E_S00RP1.EXE
c:\windows\system32\nvsvc32.exe
c:\programmi\CyberLink\Shared files\RichVideo.exe
c:\windows\System32\PAStiSvc.exe
c:\programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Ora fine scansione: 2010-10-21 14:21:41 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-10-21 12:21

Pre-Run: 156.169.322.496 byte disponibili
Post-Run: 156.049.559.552 byte disponibili

- - End Of File - - 52DF030C7439AED0287AE07B97FD210D

questo è il log del combofix

di **FDAC** » 21/10/10 14:26

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.

Scarica ed installa HitmanPro (scegli la versione adatta al tuo Sistema Operativo - 32Bit o 64Bit):
http://www.surfright.nl/en/downloads

- lascia le impostazioni di default e lancia la scansione (attiva anche la licenza, sarà valida per 30 giorni);
- al termine della scansione (sarà velocissima, 3/4 minuti al massimo) ti verrà mostrato una finestra di riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato
- invia qui sul forum il log del programma

Scarica mbr.exe e salvalo direttamente nella Directory C:\
http://www2.gmer.net/mbr/mbr.exe

Riavvia il PC e avvialo in modalità provvisoria, premendo ripetutamente F8 subito dopo l'accensione del PC finchè non compare una schermata in nero con delle opzioni in bianco.

Da Start/Esegui e digita

C:\mbr.exe -f

e clicca su OK

NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"

La scansione durerà pochi secondi.
Posta il log situato in C:\ come mbr.log

Aspetto i tre log, ciao!

di **marcozenon** » 22/10/10 09:30

Mi armo di pazienza e farò tutte e 3 le operazioni consigliate.
Intanto aggiorno la mia situazione: ora Task Manager presente, il computer si accende e si spegne correttamente, dopo avere usare i tolls di HIREN.
Il problema al momento è il Windows Installer: non riesco a installare e disinstallare nulla, perchè mi dice che l'Installer non funziona.
Ho proovato a scaricare Windows INstaller:
- sia da sito Windows Update: si blocca l'installazione dicendomi che non riesce a portarla a termine
- sia scaricando il file di installazione dalla rete: si blocca dicendomi che il file MSIEXEC.EXE è in uso da un 'altra applicazione; questo metodo l'ho provato sia in modalità normale, sia in provvisoria; stesso errore, pur non avendo apparentemente alcun programma in funzione...

di **marcozenon** » 22/10/10 11:50

LOG DI MALWAREBYTES:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4908

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

22/10/2010 12.26.43
mbam-log-2010-10-22 (12-26-43).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 367540
Tempo trascorso: 1 ore, 9 minuti, 37 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 19

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> No action taken.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\!KillBox\avtext.dll (Trojan.FakeAlert) -> No action taken.
C:\!KillBox\avtext.dll( 1) (Trojan.FakeAlert) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\PRAGMAyfqjixncbv\PRAGMAc.dll.vir (Trojan.Agent.Gen) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\PRAGMAyfqjixncbv\PRAGMAd.sys.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\vbma39d2.sys.vir (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0237837.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0238843.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0239861.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0239862.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0239872.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0239880.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0240015.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0241020.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0243048.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0244052.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0245237.dll (Trojan.Agent.Gen) -> No action taken.
C:\System Volume Information\_restore{B0E97B3A-6AE7-4D55-95F7-8C94B6AEEA6E}\RP931\A0245239.sys (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\pc\Desktop\Desktop\desktop\florin 2006\PT FILME\SPLITER\Avi splitter and Joiner\All Video Splitter 1.0.4+Keygen\Keygen-AllVideoSplitter.exe (Spyware.Passwords) -> No action taken.
C:\Documents and Settings\pc\Dati applicazioni\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> No action taken.

di **marcozenon** » 22/10/10 11:51

LOG DI HITMAN

- <Log computer="COMPUTER_SALVA" scan="Normal" version="3.5.7.116" date="2010-10-22T12:35:56" timeSpentInSecs="260" filesProcessed="53322">
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Documents and Settings\pc\Cookies\pc@apmebf[1].txt" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Documents and Settings\pc\Cookies\pc@mediaplex[2].txt" />
</Item>
- <Item type="Suspicious" score="96.0" status="None">
<File path="C:\Programmi\Enigma Software Group\SpyHunter\SH4Service.exe" hash="A546C9C672724845FBA5D8DB8AEB65C929091C38BC5A946F59FCD46DCEE2F34B" />
- <Startup>
<Key path="HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service\" />
</Startup>
</Item>
- <Item type="Suspicious" score="89.0" status="None">
<File path="C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE" hash="A546C9C672724845FBA5D8DB8AEB65C929091C38BC5A946F59FCD46DCEE2F34B" />
- <References>
<Key path="HKU\S-1-5-21-299502267-73586283-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE" />
</References>
</Item>
</Log>

di **marcozenon** » 22/10/10 11:51

Log di MBR

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

di **marcozenon** » 22/10/10 12:06

Rieccomi ancora:

posto il log di HIJACKTHIS perchè vedo che qualcuno continua a usare effettivamente msiexec.exe, ma non capisco chi! e se uso il FIX di hijachkthis, lo rimuove ma sembra ripartire immediatamente...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.05.42, on 22/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\Programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Programmi\CyberLink\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\CyberLink\PowerCinema\PCMAgent.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe
C:\Programmi\CyberLink\TV Enhance\TVEService.exe
C:\Programmi\CyberLink\PlayMovie\PMVService.exe
C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Programmi\DivX\DivX Update\DivXUpdate.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\Programmi\Philips\VOIP321\VOIP321.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\pc\Desktop\WindowsInstaller-KB893803-v2-x86.exe
c:\4fce04899f5e148ac999d84169883519\UPDATE\update.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: YSPManager - {25BC7718-0BFA-40EA-B381-4B2D9732D686} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2H1.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCMAgent] C:\Programmi\CyberLink\PowerCinema\PCMAgent.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Programmi\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programmi\CyberLink\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Programmi\CyberLink\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: VOIP321.lnk = C:\Programmi\Philips\VOIP321\VOIP321.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {BBF74FB9-ABCD-4678-880A-2511DAABB5E1} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O9 - Extra 'Tools' menuitem: Yahoo! Search Protection - {BBF74FB9-ABCD-4678-880A-2511DAABB5E1} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 7733310843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7733298671
O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - http://www.myremotevision.com/WinWebPush.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://www.yycast.com/vjocx-en-black.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/ph ... NPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programmi\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programmi\CyberLink\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 11890 bytes

di **FDAC** » 22/10/10 13:37

Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: YSPManager - {25BC7718-0BFA-40EA-B381-4B2D9732D686} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2H1.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCMAgent] C:\Programmi\CyberLink\PowerCinema\PCMAgent.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Programmi\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programmi\CyberLink\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Programmi\CyberLink\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {BBF74FB9-ABCD-4678-880A-2511DAABB5E1} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O9 - Extra 'Tools' menuitem: Yahoo! Search Protection - {BBF74FB9-ABCD-4678-880A-2511DAABB5E1} - C:\Programmi\Yahoo!\Search Protection\ysp.dll
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 7733310843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7733298671
O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - http://www.myremotevision.com/WinWebPush.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://www.yycast.com/vjocx-en-black.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/ph ... NPUpld.ca
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe (file missing)

Disinstalla SpyHunter
Disinstalla Ad Aware
Disinstalla Yahoo Search Protection
Elimina questa cartella:
C:\Programmi\Lavasoft

POI

Ripeti la scansione con MALWAREBYTES -prima aggiornalo, clicca su aggiornamento in alto, poi aggiorna.

Posta qui i log di HJT e Malware a fine scansione.
Poi, se mi dici che va tutto ok, proseguiamo, e installiamo anche l'antivirus, visto che ne sei privo.

di **marcozenon** » 24/10/10 12:10

HO lasciato il pc venerdi in balia del windows installer che non si installa, non si aggiorna e non permette l'installazione di alcun chè (tipo skype). Il pc sembra pulito dopo gli utilizzi di tutti i programmi che mi hai suggerito. Alla disperata ho provato a ripristinare XP col cd. RIparte e windows installer mi dà gli stessi problemi. Anzi mi correggo: ho scaricato dal sito WindowsUpdate il file di installazione per WIndowsInstaller. Prima del ripristino di XP, lanciavo il file exe e mi si bloccava dicendo che Windows Installer è utilizzato da un programma (come già ti avevo detto). Dopo il ripristino di XP, lancio il file exe e pare andare avanti: mi dice che è necessario creare un punto di ripristino, inizia a crearlo e si blocca per sempre...
Domani riprendo le operazioni...

Security Center e Antivirus2010

Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Re: Security Center e Antivirus2010

Topic correlati a "Security Center e Antivirus2010":

Chi c’è in linea