Smart fortress

[mibe]

Si l'ho provato; ma entrando così non posso accedere a internet.
Quale altro tasto potrebbe essere se non F8?

[nikita75]

bel mistero

[nikita75]

http://www.megalab.it/2556/3/come-avvia ... rovvisoria
nel link il tutorial completo
per xp la procedura è questa , non usi f8 !

in modalita provvisoria la connessione a internet non funziona --normale ..vengono avviati una decina di processi - ma per eliminare Smart fortress non ti serve internet - devi avere solo scaricato il file zip della procedura

[nikita75]

....in modalita' provvisoria con rete

http://support.microsoft.com/kb/315222/it

Quando si utilizza una delle opzioni dell'avvio in modalità provvisoria, viene impostata una variabile di ambiente. La variabile di ambiente è SAFEBOOT_OPTION, impostata su Rete o su Minima.

Provare a riavviare il computer utilizzando l'opzione Modalità provvisoria con rete, ovvero l'unica opzione della modalità provvisoria che consente di utilizzare le funzionalità di rete e per Internet. Se la connessione non riesce con questa opzione, accertarsi di avere eliminato qualsiasi problema di hardware riavviando il computer e l'hardware di rete in uso, ad esempio un modem o un router.

[mibe]

Si, si, c'ero arrivato nel frattempo, grazie.

Ora procedo.

[nikita75]

devi togliere la spunta da minimal e metterla su network . in questo modo vai in modalita provvisoria in rete

neanche su megalab hanno scritto questa procedura ....vabbe !cosa che sicuramente il tasto f8 non fa ...mentre da ms config si puo' configurare !!

[mibe]

Mi sono un pò perso quasi subito (comunque sono in modalità provvisoria con accesso a internet).


1) In LAN io non ho il quadratino "Utilizza un server proxy" selezionato (quindi non lo devo deselezionare, perchè è già così).
2) Quando ho poi riavviato il pc devo mettere le impostazioni (la spunta dove c'è il quadratino Proxy server e mettere come Address 127.0.0.1 poi Port 5555 e la flag a Bypass proxy server ...e dare l'ok? E poi se tutto funziona dovrò rimettere come l'ho adesso (non ho la flag e dove c'è l'Address non ho nessun numero e invece in port ho un altro numero)?
3) Malwarebyte's l'ho già installato sul pc. Le istruzioni dicono "rimuovere tutte associate intelligenti (?) Fortress 2012 file e chiavi ..." se alla fine della scansione sposterò in quarantena tutte le voci con dentro il nome "Fortress" è corretto?

Grazie.

[nikita75]

Deseleziona "Utilizza un server proxy" box. Fare clic su OK per chiudere Impostazioni Lan e fare clic su OK per chiudere le impostazioni di Internet Explorer.

Passo 3. Riparazione "in esecuzione di file con estensione exe".

Scaricare il seguente file fixexe.zip ed estrarre sul desktop. Fare clic destro per fixexe.inf e selezionare Installa.
Riavviare il computer.

---------------------------------------------
dovresti fare questa operazione senza la connessione in internet --
se nel server proxy non hai nessuna voce non inserire niente
il file fixexe.zip lo scarichi da qui
http://www.myantispyware.com/wp-content ... fixexe.zip

avvia malware byte ---rimuovi selezionati . e chiavi di registro associate fortress compreso---salva il log e riavvia il pc

[mibe]

Non mi pare abbia trovato nulla ... avrò sbagliato qualche passaggio...

Su due cose ero in dubbio.
Quando dici:
Passo 3. Riparazione "in esecuzione di file con estensione exe".

Scaricare il seguente file fixexe.zip ed estrarre sul desktop. Fare clic destro per fixexe.inf e selezionare Installa.
Riavviare il computer.

e poi metti la schermata dei LAN settings. Io, come dicevo, nella mia schermata non ho selezionato con la flag "Use a proxy server for your LAN (These settings ...) poi dove ho Address non ho nulla e dove c'è Port ho il numero 80. Sotto non ho la flag su Bypass proxy server for local addresses.
PERO' ho inserito le modifiche come nella finestra di impostazione da te mostrata (Address 127,0 ...Port 5555 ...).
Inoltre mi sfugge il motivo del perchè la scansione con Malwarebytes si deve selezionare come rapida e non come completa (come intuitivamente avrei fatto).

Ecco il report:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.05.22.03

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria con rete)
Internet Explorer 8.0.6001.18702
Mio :: 419039C3972446B [amministratore]

22/05/2012 23.38.46
mbam-log-2012-05-22 (23-38-46).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 195787
Tempo impiegato: 2 minuti, 22 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

[mibe]

Ho provato a lanciare una scansione completa con Malwarebytes Anti-Malware e mi ha trovato tre elementi nocivi che ho eliminato.

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.05.22.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Mio :: 419039C3972446B [amministratore]

23/05/2012 0.10.44
mbam-log-2012-05-23 (00-10-44).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 233564
Tempo impiegato: 52 minuti, 43 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 3
C:\Documents and Settings\Mio\Dati applicazioni\Sun\Java\Deployment\cache\6.0\8\22accac8-117d7072 (Trojan.Winlock) -> Spostato in quarantena ed eliminato con successo.
C:\Qoobox\Quarantine\C\Documents and Settings\Mio\Impostazioni locali\Dati applicazioni\dzlayxgjb.exe.vir (Trojan.Fakealert) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{82C7E458-EAFE-44CF-8139-9B2E81AFFA7A}\RP44\A0066939.exe (Trojan.LameShield) -> Spostato in quarantena ed eliminato con successo.

(fine)

[nikita75]

il proxi disattivato ...quindi spuntato non devi averlo attivo ...ma il file zippato dopo lo hai eseguito ??

la scansione profonda eè piu' lenta e piu' aggressiva !!

fai sapere

[mibe]

Stasera ci riprovo ....

Ma non ho ancora capito se (come avevo già chiesto) nella finestra LAN devo inserire i dati da te indicati e cioè:
le impostazioni da te mostrate (Address 127,0 ...Port 5555 ...) oppure no (cioè senza flag e perciò senza la possibilità di inserire alcunchè).
Inoltre non mi hai detto perchè la scansione con Malwarebytes si deve selezionare come rapida e non come completa (come intuitivamente avrei fatto).


Grazie per la pazienza (fin qui) dimostrata.

Ciao.

[nikita75]

si non devi inserire nessun dato ...quindi deseleziona proxy -


dopo devi eseguire il passo 3


Passo 3. Riparazione "in esecuzione di file con estensione exe".

Scaricare il seguente file fixexe.zip ed estrarre sul desktop. Fare clic destro per fixexe.inf e selezionare Installa.
Riavviare il computer.

il file fixex zip lo trovi a questo link
http://www.myantispyware.com/wp-content ... fixexe.zip

dopo il passo 3 avvia Malware bytes fai la scansione profonda anche se loro indicano la rapida ...

il riferimento di tutta la procedura è sempre indicata su questo link
--http://www.myantispyware.com/2012/02/29/how-to-remove-smart-fortress-2012-virus/......

fai sapere se lo ha sterminato !

[mibe]

Ho provato a rifare tutto. Con l'altra scansione completa del 23/05/12 04:30 MB aveva trovato 3 elementi che ho rimosso.
Nella scansione di oggi non ha rilevato nulla.

Ecco il report:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.05.22.03

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria con rete)
Internet Explorer 8.0.6001.18702
Mio :: 419039C3972446B [amministratore]

23/05/2012 22.38.43
mbam-log-2012-05-23 (22-38-43).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 234537
Tempo impiegato: 16 minuti, 33 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

[nikita75]

hai aperto e lanciato il file zippato ??
hai ancora Smart Fortress ??

Come va il pc ????

[mibe]

Ho estratto il file sul desk e poi ho cliccato col tasto dx su fixexe.inf e ho selezionato Installa. Non è successo nulla dopo però (mi aspettavo che ci fosse una procedura di installazione ...).
Ho riavviato il computer e ho lanciato scansione completa con Malware Bytes e ... non ha trovato nulla (ricordo che due giorni fa aveva trovato tre elementi dannosi e cioè C:\Documents and Settings\Mio\Dati applicazioni\Sun\Java\Deployment\cache\6.0\8\22accac8-117d7072 (Trojan.Winlock) -> Spostato in quarantena ed eliminato con successo.
C:\Qoobox\Quarantine\C\Documents and Settings\Mio\Impostazioni locali\Dati applicazioni\dzlayxgjb.exe.vir (Trojan.Fakealert) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{82C7E458-EAFE-44CF-8139-9B2E81AFFA7A}\RP44\A0066939.exe (Trojan.LameShield) -> Spostato in quarantena ed eliminato con successo).

Non si è più palesato negli ultimi giorni Smart Fortress ma ho il sentore che sia nascosto ancora da qualche parte ...

Non c'è qualche altra scansione che sia meglio lanciare (Combofix ad es.)?

Inoltre per essere sicuro che non si annidi ancora in qualche chiavetta o hard disc che utilizzo che cosa è necessario fare?
Il PC sembra andare bene. Noto solo un pò di incertezza (un pò di lentezza a spostarsi) del cursore del mouse quando scorro le cartelle di internet memorizzate come mie "preferite" per selezionarne una.

[nikita75]

C:\Documents and Settings\Mio\Dati applicazioni\Sun\Java\Deployment\cache\6.0\8\22accac8-117d7072 (Trojan.Winlock) -> Spostato in quarantena ed eliminato con successo.
C:\Qoobox\Quarantine\C\Documents and Settings\Mio\Impostazioni locali\Dati applicazioni\dzlayxgjb.exe.vir (Trojan.Fakealert) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{82C7E458-EAFE-44CF-8139-9B2E81AFFA7A}\RP44\A0066939.exe (Trojan.LameShield) -> Spostato in quarantena ed eliminato con successo).

un po di oggetti estranei sono andati via !
attendi un po di suggerimenti dal forum per la lentezza che noti ..sicuramente serve avviare la procedura di ottimizzazione che FDAC usa dopo la rimozione malware -- Quando il pc funziona ricordati di fare sempre un back up completo delle chiavi di registro , elementi principali del nucleo di WINDOWS .

Combofix da usare sempre su richiesta del dottore !! è un potentissimo antibiotico ...dopo la rimozione di virus va sempre cancellato ..eè un software ..segretissimo degli sviluppatori e va sempre scaricata l'ultima versione aggiornata ...come tutti gli altri tools di rimozione DDS _ _--OTL -- HIjack ...Malware byte....TDSS ,,,,,,sono tanti !!!E devono essere decifrati e manovrati da chi ha le conoscenze informatiche e abilitazioni del settore sicurezza infrmatica
http://www.bleepingcomputer.com/forums/topic224915.html


http://www.bleepingcomputer.com/forums/topic224915.html

[FrancescoFDAC]

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● una volta avviato clicca il pulsante Accetto: conferma cliccando Ok due volte
● segui le istruzioni che verranno rilasciate per eseguire la scansione:
"Tipicamente non impiega più di 10 minuti
Su pc molto infetti il tempo di scansione può raddoppiare facilmente"
● nel caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare (clicca il pulsante No)
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato dopo l'utilizzo del programma stesso.
Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, dovrai avviarla manualmente dalle Risorse del computer.

[mibe]

Ecco il report:

ComboFix 12-05-26.02 - Mio 26/05/2012 23.03.51.9.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1596 [GMT 2:00]
Eseguito da: c:\documents and settings\Mio\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-26 al 2012-05-26 )))))))))))))))))))))))))))))))))))
.
.
2012-05-26 20:45 . 2012-05-26 20:45 56200 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{7B53EBD3-C22F-4961-9739-F583536267B1}\offreg.dll
2012-05-26 11:26 . 2012-05-08 16:40 6737808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{7B53EBD3-C22F-4961-9739-F583536267B1}\mpengine.dll
2012-05-19 09:58 . 2012-05-19 19:44 -------- d-----w- C:\sh4ldr
2012-05-19 09:58 . 2012-05-19 09:58 -------- d-----w- c:\programmi\Enigma Software Group
2012-05-19 09:57 . 2012-05-19 19:44 -------- d-----w- c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP
2012-05-19 09:57 . 2012-05-19 09:57 -------- d-----w- c:\programmi\File comuni\Wise Installation Wizard
2012-05-07 19:41 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-05-07 19:41 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-05-02 19:59 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-08 16:40 . 2012-03-19 21:02 6737808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-03-17 13:04 . 2012-03-17 13:04 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-29 14:10 . 2008-04-14 04:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2008-04-14 04:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-18_21.53.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-05-26 11:16 . 2012-05-26 11:16 16384 c:\windows\temp\Perflib_Perfdata_5c4.dat
- 2008-04-14 04:00 . 2012-05-17 22:03 65186 c:\windows\system32\perfc010.dat
+ 2008-04-14 04:00 . 2012-05-26 14:38 65186 c:\windows\system32\perfc010.dat
+ 2008-04-14 04:00 . 2012-05-26 14:38 55336 c:\windows\system32\perfc009.dat
- 2008-04-14 04:00 . 2012-05-17 22:03 55336 c:\windows\system32\perfc009.dat
+ 2012-05-19 19:43 . 2012-05-19 19:43 27499 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCall.dll
+ 2008-04-14 04:00 . 2012-05-26 14:38 450578 c:\windows\system32\perfh010.dat
- 2008-04-14 04:00 . 2012-05-17 22:03 450578 c:\windows\system32\perfh010.dat
+ 2008-04-14 04:00 . 2012-05-26 14:38 408052 c:\windows\system32\perfh009.dat
- 2008-04-14 04:00 . 2012-05-17 22:03 408052 c:\windows\system32\perfh009.dat
+ 2012-05-19 09:57 . 2012-05-19 09:58 180482 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla21.exe
+ 2012-05-19 19:44 . 2012-05-19 19:44 180482 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla21.dll
+ 2012-05-19 19:44 . 2012-05-19 19:44 175992 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla20.dll
+ 2012-05-19 19:44 . 2012-05-19 19:44 176035 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla2.dll
+ 2012-05-19 19:44 . 2012-05-19 19:44 176035 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla19.dll
+ 2012-05-19 19:44 . 2012-05-19 19:44 179526 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla18.exe
+ 2012-05-19 19:43 . 2012-05-19 19:44 176545 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla17.dll
+ 2012-05-19 19:44 . 2012-05-19 19:44 179526 c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP\WiseCustomCalla.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"MSC"="c:\programmi\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Mio\\Desktop\\utorrent.exe"=
.
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 esgiguard;esgiguard;\??\c:\programmi\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programmi\Enigma Software Group\SpyHunter\esgiguard.sys [?]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 Installer Service;Installer Service;c:\documents and settings\All Users\Dati applicazioni\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}\Installer\InstallerService.exe [11/03/2012 21.51.53 125952]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-26 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
2012-05-26 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-26 23:09
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(1724)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2012-05-26 23:11:23
ComboFix-quarantined-files.txt 2012-05-26 21:11
ComboFix2.txt 2012-05-18 21:55
.
Pre-Run: 37.614.534.656 byte disponibili
Post-Run: 37.952.712.704 byte disponibili
.
- - End Of File - - B19AECF74B5895468C309870B979F158

[FrancescoFDAC]

Disinstalla SpyHunter.

Scarica Security Check: http://screen317.spywareinfoforum.org/SecurityCheck.exe
● salva il tool sul Desktop
● esegui il programma e premi un tasto qualsiasi
● attendi la fine della scansione
● allega il log che si aprirà automaticamente