Non valido per Win32

[bubi]

ciao a tutti io ho lo stesso problema solo che non riesco ad effetuare la scansione on-line con kaspersky poichè mi sice questo: Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.
You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Scan has failed to start. [0x80004005]]

Aiutatemi!

[Luke57]

Ciao, qual è il tuo sistema operativo? Sei sicuro di avere il beagle?

[bubi]

si e non avevo solo quello cmq credo e spero di aver risolto, nel caso ti contatto, ti ringrazio cmq

[mircomarche]

Salve a tutti..
Credo di aver preso anche io questo virus. Ad un certo punto mi è sparita la consolle del mio antivirus, e adesso non me ne fa installare altri, quelli che installo non partono a causa dell'errore "Win32 applicazione non valida"; inoltre le risorse del pc sono quasi sempre occupate vedendole dal task manager.
Insomma i sintomi ci sono.. Non so come potrei averlo preso, se mi poteste dare una mano mi fareste un favore..
La prima cosa da fare penso sia postare il resoconto di hijiack ?
Non sono sicuro di averlo mai fatto quindi vorrei indicazioni anche su questo.. grazie..

[Luke57]

Ciao, prva a seguire qui:
http://www.hwupgrade.it/forum/showthread.php?t=1562611

in caso di difficoltà eventualemente riscontrate, fammi sapere.

[ETERNITY2009]

Ciao a tutti ragazzi, sono nuovo e desideroso d'imparare tante belle cosette grazie a voi maghi!
Prima di tutto mi sembra proprio di essermi beccato un bel Bagle scaricando cose non sicurissime ed eccomi qui a riciedere il Vostro aiuto.
Adesso senza romperVi tanto le scatole inizio a fare una bella scanarizzazione con Kasperspy e poi vi posto il risultato,intanto grazi e ciao!

[ETERNITY2009]

Ciao ragazzi,ho fatto partire kasperspy e mi sono sorte due domandine che a voi sembreranno ovvie ma per me che sono alla prime armi sono come un dubbio fisso:kasperspy in caso di disconessione da internet si blocca e devo ricominciare lo scan dall'inizio?
Essendo online come programma non è che tutto il mio contenuto del computer vada a finire sotto gli occhi di altra gente??
Grazie infinite e ciao a tutti.
Appena ho il resonto di Kasperspy vi mando un allegato e vediamo se perfavore riusciamo ad eliminare il beagle!
Grazie e ciao!

[Luke57]

Ciao ragazzi,ho fatto partire kasperspy e mi sono sorte due domandine che a voi sembreranno ovvie ma per me che sono alla prime armi sono come un dubbio fisso:kasperspy in caso di disconessione da internet si blocca e devo ricominciare lo scan dall'inizio?
Essendo online come programma non è che tutto il mio contenuto del computer vada a finire sotto gli occhi di altra gente??
Grazie infinite e ciao a tutti.
Appena ho il resonto di Kasperspy vi mando un allegato e vediamo se perfavore riusciamo ad eliminare il beagle!
Grazie e ciao!

Ciao, prima di kasperky esegui quanto segue:
vai qui e scarica combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavia in modalità normale e posta il contenuto del file.

[ETERNITY2009]

Grazie mille ,oggi verso le 14 provo e poi stasera ti faccio saper,grazie mille intanto davvero!

[ETERNITY2009]

Grazie mille ,oggi verso le 14 provo e poi stasera ti faccio saper,grazie mille intanto davvero!

[ETERNITY2009]

PERLUKE57:
ho fatto la scansione come esattamente scritto da te al riavvio mi ha inviato un documento bloc note "log -blocco note",io l'ho aperto e ti allego quello che c'era scritto dentro:

ComboFix 08-10-29.06 - Nicola 2008-10-29 13.59.20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.285 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Nicola\Desktop\abc.exe

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Nicola\Desktop\Videos.url
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\console.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\script0.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\script1.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\temp1.htm
C:\Documents and Settings\Nicola\Menu Avvio\Programmi\Videos.url
C:\Documents and Settings\Nicola\Preferiti\Videos.url
C:\InfoSat.txt
C:\WINDOWS\4.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\kernel32.exe
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_POWERMANAGER
-------\Legacy_WINDOWS_MANAGEMENT_SERVICE
-------\Service_PowerManager


((((((((((((((((((((((((( Files Creati Da 2008-09-28 al 2008-10-29 )))))))))))))))))))))))))))))))))))
.

2008-10-28 18:07 . 2008-10-28 18:01 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-10-28 18:07 . 2008-10-28 18:01 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-28 18:00 . 2008-10-28 18:00 <DIR> d-------- C:\Programmi\Java
2008-10-28 12:48 . 2008-10-28 12:48 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVG7
2008-10-27 20:35 . 2008-10-29 14:07 16,928,800 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-27 20:35 . 2008-10-29 14:04 198,968 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-27 19:32 . 2008-07-08 13:54 148,496 --a------ C:\WINDOWS\system32\drivers\74884857.sys
2008-10-27 19:30 . 2008-07-08 13:54 148,496 --a------ C:\WINDOWS\system32\drivers\31452749.sys
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Programmi\AVG
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVGTOOLBAR
2008-10-23 23:20 . 2008-10-27 13:33 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\avg8
2008-10-23 22:29 . 2008-10-23 22:29 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-10-23 22:29 . 2008-10-23 22:29 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-10-23 18:52 . 2008-10-23 22:30 <DIR> d-------- C:\Programmi\ESET
2008-10-23 13:12 . 2008-10-23 22:46 <DIR> d-------- C:\Programmi\Enigma Software Group

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 13:05 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\AdobeUM
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\skypePM
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Skype
2008-10-28 19:45 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avg7
2008-10-28 19:37 --------- d-----w C:\Programmi\PeerGuardian2
2008-10-28 17:12 --------- d-----w C:\Programmi\Google
2008-10-27 12:55 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Azureus
2008-10-27 12:27 --------- d-----w C:\Programmi\Easy CD-DA Extractor 10
2008-10-27 12:16 --------- d-----w C:\Programmi\Spybot
2008-10-23 22:25 --------- d-----w C:\Programmi\Ad-Aware
2008-10-23 21:46 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-01-09 14:51 32 ----a-w C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"TaskTray"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 163840]
"Taskbar"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe" [2001-07-26 118784]
"msnmsgr"="C:\Programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"updateMgr"="C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-10-28 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]
"ISUSPM Startup"="C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 90112]
"CTStartup"="C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE" [2001-06-04 28672]
"Jet Detection"="C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"HWCU"="C:\Programmi\Hamlet\HWCU.exe" [2007-09-18 348160]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2005-10-23 155648]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-10-28 921600]
"SunJavaUpdateSched"="C:\Programmi\Java\jre6\bin\jusched.exe" [2008-10-28 136600]
"nwiz"="nwiz.exe" [2005-06-15 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2007-04-09 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 C:\WINDOWS\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:54 5674352 C:\Programmi\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-23 17:07 155648 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--------- 2001-07-03 01:30 122880 C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\RcMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
--------- 2001-07-26 01:00 118784 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskTray]
--------- 2001-06-29 01:00 163840 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 15:45 313472 C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\EMULE\\emule.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\Azureus\\Azureus.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 is-DE5PTdrv;is-DE5PTdrv;C:\WINDOWS\system32\DRIVERS\31452749.sys [2008-07-08 148496]
R1 is-MQN6Ddrv;is-MQN6Ddrv;C:\WINDOWS\system32\DRIVERS\74884857.sys [2008-07-08 148496]
R2 JavaQuickStarterService;Java Quick Starter;C:\Programmi\Java\jre6\bin\jqs.exe [2008-10-28 152984]
R3 AR5523;Hamlet Wireless Adapter;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2007-08-02 360288]
R3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTS.SYS [2002-06-24 45568]
S3 vsc32;Virtual Sound Canvas 3.2;C:\WINDOWS\system32\DRIVERS\vsc.sys [ ]
.
- - - - ORFÃOS REMOVIDOS - - - -

BHO-{9311A251-3766-3DF7-F4C3-E6C08854D8DF} - C:\WINDOWS\aacsr1.dll
HKCU-Run-clamav - NopeZ.exe
HKLM-Run-csdcb.exe - C:\WINDOWS\system32\csdcb.exe
HKLM-Run-dmxnx.exe - C:\WINDOWS\system32\dmxnx.exe
HKLM-Run-dialer423 - InpriseMon.exe
Notify- -wdtuzgie - C:\WINDOWS\system32\awwdtu.dll
SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
MSConfigStartUp-KillAndClean - C:\Programmi\KillAndClean\KillAndClean.exe
MSConfigStartUp-onwu1 - C:\WINDOWS\TEMP\onwu1.exe
MSConfigStartUp-Quicktime - C:\WINDOWS\qttasks.exe
MSConfigStartUp-resagnt - C:\WINDOWS\restun.exe
MSConfigStartUp-SpybotSD TeaTimer - C:\Programmi\Spybot\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-WindowsServicesStartup - C:\DOCUME~1\Nicola\IMPOST~1\Temp\svchost.exe
MSConfigStartUp-AliceSD - NopeZ.exe
MSConfigStartUp-C-Media Mixer - Mixer.exe
MSConfigStartUp-init32 - scanSYS.exe
MSConfigStartUp-powerdll - zantu.exe


.
------- Supplementare di scansione -------
.
FireFox -: Profile - C:\Documents and Settings\Nicola\Dati applicazioni\Mozilla\Firefox\Profiles\kmswy3rb.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://italian.eazel.com/index.php?rvs=hompag
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 14:05:48
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???9~??9~????????\???\???<???$???U?9~??9~\???\???<???(?`???????:~\???\??????s????\??????s\????&2?A??s?&2???:~???

Scansione files nascosti ...


C:\Documents and Settings\Nicola\Dati applicazioni\Adobe\Acrobat\7.0\Updater\AdbeRdr710_en_US.exe 19900192 bytes executable

Scansione completata con successo
Files nascosti: 1

**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ctsvccda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-10-29 14:11:12 - macchina è stato riavviato [Nicola]
ComboFix-quarantined-files.txt 2008-10-29 13:11:05

Pre-Run: 502.218.752 byte disponibili
Post-Run: 591,269,888 byte disponibili

192 --- E O F --- 2008-02-01 19:35:08





POI COME MI HAI DETTO TU SONO ANDATO CU "C" è ho trovato il Combofix ,l'ho aperto e ti allego il contenuto:

ComboFix 08-10-29.06 - Nicola 2008-10-29 13.59.20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.285 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Nicola\Desktop\abc.exe

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Nicola\Desktop\Videos.url
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\console.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\script0.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\sc\script1.html
C:\Documents and Settings\Nicola\Impostazioni locali\Temporary Internet Files\temp1.htm
C:\Documents and Settings\Nicola\Menu Avvio\Programmi\Videos.url
C:\Documents and Settings\Nicola\Preferiti\Videos.url
C:\InfoSat.txt
C:\WINDOWS\4.tmp
C:\WINDOWS\6.tmp
C:\WINDOWS\7.tmp
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\kernel32.exe
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_POWERMANAGER
-------\Legacy_WINDOWS_MANAGEMENT_SERVICE
-------\Service_PowerManager


((((((((((((((((((((((((( Files Creati Da 2008-09-28 al 2008-10-29 )))))))))))))))))))))))))))))))))))
.

2008-10-28 18:07 . 2008-10-28 18:01 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-10-28 18:07 . 2008-10-28 18:01 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-28 18:00 . 2008-10-28 18:00 <DIR> d-------- C:\Programmi\Java
2008-10-28 12:48 . 2008-10-28 12:48 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVG7
2008-10-27 20:35 . 2008-10-29 14:07 16,928,800 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-27 20:35 . 2008-10-29 14:04 198,968 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-27 19:32 . 2008-07-08 13:54 148,496 --a------ C:\WINDOWS\system32\drivers\74884857.sys
2008-10-27 19:30 . 2008-07-08 13:54 148,496 --a------ C:\WINDOWS\system32\drivers\31452749.sys
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Programmi\AVG
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVGTOOLBAR
2008-10-23 23:20 . 2008-10-27 13:33 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\avg8
2008-10-23 22:29 . 2008-10-23 22:29 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-10-23 22:29 . 2008-10-23 22:29 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-10-23 18:52 . 2008-10-23 22:30 <DIR> d-------- C:\Programmi\ESET
2008-10-23 13:12 . 2008-10-23 22:46 <DIR> d-------- C:\Programmi\Enigma Software Group

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 13:05 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\AdobeUM
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\skypePM
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Skype
2008-10-28 19:45 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avg7
2008-10-28 19:37 --------- d-----w C:\Programmi\PeerGuardian2
2008-10-28 17:12 --------- d-----w C:\Programmi\Google
2008-10-27 12:55 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Azureus
2008-10-27 12:27 --------- d-----w C:\Programmi\Easy CD-DA Extractor 10
2008-10-27 12:16 --------- d-----w C:\Programmi\Spybot
2008-10-23 22:25 --------- d-----w C:\Programmi\Ad-Aware
2008-10-23 21:46 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-01-09 14:51 32 ----a-w C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"TaskTray"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 163840]
"Taskbar"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe" [2001-07-26 118784]
"msnmsgr"="C:\Programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"updateMgr"="C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-10-28 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]
"ISUSPM Startup"="C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 90112]
"CTStartup"="C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE" [2001-06-04 28672]
"Jet Detection"="C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"HWCU"="C:\Programmi\Hamlet\HWCU.exe" [2007-09-18 348160]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2005-10-23 155648]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-10-28 921600]
"SunJavaUpdateSched"="C:\Programmi\Java\jre6\bin\jusched.exe" [2008-10-28 136600]
"nwiz"="nwiz.exe" [2005-06-15 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2007-04-09 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 C:\WINDOWS\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:54 5674352 C:\Programmi\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-23 17:07 155648 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--------- 2001-07-03 01:30 122880 C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\RcMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
--------- 2001-07-26 01:00 118784 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskTray]
--------- 2001-06-29 01:00 163840 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 15:45 313472 C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\EMULE\\emule.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\Azureus\\Azureus.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 is-DE5PTdrv;is-DE5PTdrv;C:\WINDOWS\system32\DRIVERS\31452749.sys [2008-07-08 148496]
R1 is-MQN6Ddrv;is-MQN6Ddrv;C:\WINDOWS\system32\DRIVERS\74884857.sys [2008-07-08 148496]
R2 JavaQuickStarterService;Java Quick Starter;C:\Programmi\Java\jre6\bin\jqs.exe [2008-10-28 152984]
R3 AR5523;Hamlet Wireless Adapter;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2007-08-02 360288]
R3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTS.SYS [2002-06-24 45568]
S3 vsc32;Virtual Sound Canvas 3.2;C:\WINDOWS\system32\DRIVERS\vsc.sys [ ]
.
- - - - ORFÃOS REMOVIDOS - - - -

BHO-{9311A251-3766-3DF7-F4C3-E6C08854D8DF} - C:\WINDOWS\aacsr1.dll
HKCU-Run-clamav - NopeZ.exe
HKLM-Run-csdcb.exe - C:\WINDOWS\system32\csdcb.exe
HKLM-Run-dmxnx.exe - C:\WINDOWS\system32\dmxnx.exe
HKLM-Run-dialer423 - InpriseMon.exe
Notify- -wdtuzgie - C:\WINDOWS\system32\awwdtu.dll
SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
MSConfigStartUp-KillAndClean - C:\Programmi\KillAndClean\KillAndClean.exe
MSConfigStartUp-onwu1 - C:\WINDOWS\TEMP\onwu1.exe
MSConfigStartUp-Quicktime - C:\WINDOWS\qttasks.exe
MSConfigStartUp-resagnt - C:\WINDOWS\restun.exe
MSConfigStartUp-SpybotSD TeaTimer - C:\Programmi\Spybot\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-WindowsServicesStartup - C:\DOCUME~1\Nicola\IMPOST~1\Temp\svchost.exe
MSConfigStartUp-AliceSD - NopeZ.exe
MSConfigStartUp-C-Media Mixer - Mixer.exe
MSConfigStartUp-init32 - scanSYS.exe
MSConfigStartUp-powerdll - zantu.exe


.
------- Supplementare di scansione -------
.
FireFox -: Profile - C:\Documents and Settings\Nicola\Dati applicazioni\Mozilla\Firefox\Profiles\kmswy3rb.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://italian.eazel.com/index.php?rvs=hompag
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 14:05:48
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???9~??9~????????\???\???<???$???U?9~??9~\???\???<???(?`???????:~\???\??????s????\??????s\????&2?A??s?&2???:~???

Scansione files nascosti ...


C:\Documents and Settings\Nicola\Dati applicazioni\Adobe\Acrobat\7.0\Updater\AdbeRdr710_en_US.exe 19900192 bytes executable

Scansione completata con successo
Files nascosti: 1

**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ctsvccda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-10-29 14:11:12 - macchina è stato riavviato [Nicola]
ComboFix-quarantined-files.txt 2008-10-29 13:11:05

Pre-Run: 502.218.752 byte disponibili
Post-Run: 591,269,888 byte disponibili

192 --- E O F --- 2008-02-01 19:35:08

APPENSA SAI COME DEVO ANDARE AVANTI FAMMI SAPERE ANCHE SE PURTROPPO PER LA SCANSIONE ONLINE E' UN PROBLEMA VISTO CHE INTERNET A VOLTE MI SALTA VIA,INTANTO GRAZIE E CIAO!

[Luke57]

Ciao, adesso apri un file di testo dal blocco note di windows e copiaci questo script all'interno:

Codice: Seleziona tutto

Driver::
is-DE5PTdrv
is-MQN6Ddrv

File::
C:\WINDOWS\system32\drivers\74884857.sys
C:\WINDOWS\system32\drivers\31452749.sys

salva il file di testo, chiamandolo obbligatoriamente CFScript.txt nella stessa direzione di combofix, trascinalo con il puntatore del mouse sull'icona di combofix per una nuova scansione e riavvio del computer. Allega nuovo report se prodotto.

[ETERNITY2009]

Oky appena rientro a casa provo a fare tutto , ma cosa intendi quando dici "chiamandolo obbligatoriamente CFScript.txt nella stessa direzione di combofix",io ho capito che devo creare un nuovo testo con il blocco note chiamandolo chiamandolo CFScript.txt ,ci copio quello che mi hai scritto lo salvo e trascino l'icona del bloc notes sull'icona del combofix ,facendo cosi' partirà direttamente la scansione??ho capito giusto il procedimento da fare perchè non capivo la frase "nellaa stessa direzione di combofix".

Grazie e ciao!

[Luke57]

Esattamente

[ETERNITY2009]

OKY HO FATTO TUTTO COME HAI DETTO TE E ALLA FINE MI HA LANCIATO UN NUOVO FILE I BLOC NOTES,L'HO APERTO E TI COPIO QUELLO CHE C'ERA SCRITTO:

ComboFix 08-10-29.06 - Nicola 2008-10-29 19.44.44.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.256 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Nicola\Desktop\abc.exe
Interruttori di comando utilizzati :: C:\Documents and Settings\Nicola\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::
C:\WINDOWS\system32\drivers\31452749.sys
C:\WINDOWS\system32\drivers\74884857.sys
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\31452749.sys
C:\WINDOWS\system32\drivers\74884857.sys

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IS-DE5PTDRV
-------\Legacy_IS-MQN6DDRV
-------\Service_is-DE5PTdrv
-------\Service_is-MQN6Ddrv


((((((((((((((((((((((((( Files Creati Da 2008-09-28 al 2008-10-29 )))))))))))))))))))))))))))))))))))
.

2008-10-29 14:30 . 2008-10-29 19:30 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Avira
2008-10-29 14:27 . 2008-10-29 14:27 <DIR> d-------- C:\Documents and Settings\LocalService\Dati applicazioni\AVG7
2008-10-29 14:27 . 2008-10-29 14:27 12,370,828 --------- C:\AVG7QT.DAT
2008-10-28 18:07 . 2008-10-28 18:01 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-10-28 18:07 . 2008-10-28 18:01 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-28 18:00 . 2008-10-28 18:00 <DIR> d-------- C:\Programmi\Java
2008-10-28 12:48 . 2008-10-29 14:29 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVG7
2008-10-27 20:35 . 2008-10-29 19:48 21,325,856 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-27 20:35 . 2008-10-29 19:48 252,032 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Programmi\AVG
2008-10-23 23:20 . 2008-10-23 23:20 <DIR> d-------- C:\Documents and Settings\Nicola\Dati applicazioni\AVGTOOLBAR
2008-10-23 23:20 . 2008-10-27 13:33 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\avg8
2008-10-23 22:29 . 2008-10-23 22:29 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-10-23 22:29 . 2008-10-23 22:29 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-10-23 18:52 . 2008-10-23 22:30 <DIR> d-------- C:\Programmi\ESET
2008-10-23 13:12 . 2008-10-23 22:46 <DIR> d-------- C:\Programmi\Enigma Software Group

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 19:00 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\AdobeUM
2008-10-29 13:30 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avg7
2008-10-29 13:24 --------- d-----w C:\Programmi\PeerGuardian2
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\skypePM
2008-10-28 22:34 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Skype
2008-10-28 17:12 --------- d-----w C:\Programmi\Google
2008-10-27 12:55 --------- d-----w C:\Documents and Settings\Nicola\Dati applicazioni\Azureus
2008-10-27 12:27 --------- d-----w C:\Programmi\Easy CD-DA Extractor 10
2008-10-27 12:16 --------- d-----w C:\Programmi\Spybot
2008-10-23 22:25 --------- d-----w C:\Programmi\Ad-Aware
2008-10-23 21:46 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-01-09 14:51 32 ----a-w C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"TaskTray"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 163840]
"Taskbar"="C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe" [2001-07-26 118784]
"msnmsgr"="C:\Programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"updateMgr"="C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-10-28 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]
"ISUSPM Startup"="C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 90112]
"CTStartup"="C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE" [2001-06-04 28672]
"Jet Detection"="C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"HWCU"="C:\Programmi\Hamlet\HWCU.exe" [2007-09-18 348160]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2005-10-23 155648]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-10-28 921600]
"SunJavaUpdateSched"="C:\Programmi\Java\jre6\bin\jusched.exe" [2008-10-28 136600]
"nwiz"="nwiz.exe" [2005-06-15 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2007-04-09 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 C:\WINDOWS\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:54 5674352 C:\Programmi\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-23 17:07 155648 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--------- 2001-07-03 01:30 122880 C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\RcMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
--------- 2001-07-26 01:00 118784 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskTray]
--------- 2001-06-29 01:00 163840 C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 15:45 313472 C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\EMULE\\emule.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\Azureus\\Azureus.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 JavaQuickStarterService;Java Quick Starter;C:\Programmi\Java\jre6\bin\jqs.exe [2008-10-28 152984]
R3 AR5523;Hamlet Wireless Adapter;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2007-08-02 360288]
R3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTS.SYS [2002-06-24 45568]
S3 vsc32;Virtual Sound Canvas 3.2;C:\WINDOWS\system32\DRIVERS\vsc.sys [ ]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 20:00:11
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???9~??9~????????\???\???H???$???U?9~??9~\???\???H?????`???????:~\???\??????s????\??????s\????&2?A??s?&2???:~???

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ctsvccda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-10-29 20:04:44 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-10-29 19:04:40
ComboFix2.txt 2008-10-29 13:11:16

Pre-Run: 496.783.360 byte disponibili
Post-Run: 474,378,240 byte disponibili

156 --- E O F --- 2008-02-01 19:35:08

ADESSO CHE DEVO FARE?GRAZIE MILLE E CIAO

[ETERNITY2009]

Hey luke,io ho fatto tutto(vedi sopra) , al riavvio peertopeerguardian ha iniziato a fare update e cosi' incuriosito mi sono messo a provare a installare Antivir con la piacevolissima sorpresa che si è installato e ha fatto l'update tranquillamente,poi ho fatto la scansione e alla fine della scansione mi ha scritto che ha messo in quarantena bagle,ad un successivo scan sempre con antivir mi ha trovato zero virus presenti in tutto il mio computer.
Cosa ne pensi???
Grazie mille e ciao!

[Luke57]

Ciao, in effetti anche il report di combofix sembra a posto.

[ETERNITY2009]

Bhe intanto grazie mille davvero Luke sei stato paziente e gentilissimo.Non saprei nemmeno come ringraziarti , ma intanto beccati questa serie di elogi davvero sentiti e complimenti per la tua preparazione.
Grazie grazie ancora,se ho bisogno disturberò ancora.
Intanto inizio a dare una bella sbirciatina visto che in questo sito ci sono davvero tante cose da imparare.
Grazie.

[christian87xx]

luke, ho gli stessi identici problemi del primo ragazzo che hai aiutato, mi chiedevo se avevi tempo per aiutare anche me xke questo virus mi ha sfiancato non riesco a toglierlo....grazie mille

[Luke57]

Ciao, vai qui e scarica combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavia in modalità normale e posta il contenuto del file.