Non è un applicaziome di win 32 valida

di **pittipatti** » 01/06/10 19:00

Non è un applicaziome di win 32 valida. Questo è quello che mi appare se tento di installare un nuovo programma.
poi appre anche una finestra blu, l'audio non si sente e il computer non parte in modalità provvisoria. Chi mi aiuta in modo semplice e facile? E' il pc con cui lavoro e già altre volte mi avete salvato la vita

di **-> EleKtrA <-** » 01/06/10 19:21

Ciao pittipatti, è un'infezione del worm bagle. Segui queste indicazioni.

Scarica Combofix sul desktop usando Internet Explorer
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK
(se usi vista start > tutti i programmi accessori > esegui)
se tutto va bene parte il programma che potrebbe impiegare molto
attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.

Postare il log nel topic inserendolo nel tag "code". (CLICCA)

di **pittipatti** » 01/06/10 20:05

Il programma non parte. Cosa devo fare?

di **-> EleKtrA <-** » 01/06/10 20:07

Scarica FindyKill
Doppio click sull'icona Findykill per avviare l'installazione:
Inserisci la prima spunta per accettare la licenza e prosegui > Suivant
Clicca su "Si" per destinare una cartella al programma
Clicca su Dèmarrer > Quitter per terminare l'installazione.
Cerca l'icona del programma sul desktop o in programmi ed eseguilo
Dovrai usare prima il tasto 1 (invio) per la ricerca e successivamente il tanto 2 (invio) per la pulizia.
Il report delle operazioni effettuate lo trovarai in C:\FindyKill.txt
Allega il rapporto nella tua risposta.

di **pittipatti** » 01/06/10 21:13

Fatto.

############################## | FindyKill V5.043 |

# User : Michele (Administrators) # XXX-0DEBD40D8BC
# Update on 12/05/2010 by El Desaparecido
# Start at: 21.24.49 | 01/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Processore Intel Celeron
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 14,32 Go (4,28 Go free) # NTFS
# D:\ # Disco rigido locale # 4,76 Go (3,82 Go free) # FAT32
# E:\ # Disco CD-ROM
# F:\ # Disco CD-ROM
# H:\ # Disco rimovibile # 7,46 Go (350,88 Mo free) [USB DISK] # FAT32

################## | Infected File |

Deleted ! C:\WINDOWS\ban_list.txt
Deleted ! C:\WINDOWS\mdelk.exe
Deleted ! C:\WINDOWS\wintems.exe
Deleted ! C:\WINDOWS\system32\srosa2.sys
Deleted ! C:\WINDOWS\system32\wfsintwq.sys
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\drivers\downld
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\drivers\winupgro.exe
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\drivers
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\downloads.bak
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\downloads.txt
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\AC_BootstrapIPs.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\AC_SearchStrings.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\AC_ServerMetURLs.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\cancelled.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\clients.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\clients.met.bak
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\cryptkey.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\emfriends.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\key_index.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\known.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\known2_64.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\load_index.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\nodes.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\preferences.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\preferences.ini
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\preferencesKad.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\server.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\server_met.old
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\shareddir.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\src_index.dat
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\statistics.ini
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config\StoredSearches.met
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\config
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\file.exe
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\flec003.exe
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\flec005.exe
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\Incoming
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\lang
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\names.txt
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\server.txt
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\skins
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\Temp
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\WDIR
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires\webserver
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\hidires
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m\data.oct
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m\flec006.exe
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m\list.oct
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m\shared
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m\srvlist.oct
Deleted ! C:\Documents and Settings\Michele\Dati applicazioni\m

################## | Reference of comparaison Bagle MD5 : |

File : C:\Documents and Settings\Michele\Dati applicazioni\drivers\winupgro.exe
-> Crc32 : be0a8c83 | Md5 : 8d38731ae954896cb40d1823a3cf44a2

################## | MD5 ... |

################## | CRC32 ... |

################## | Registry |

Deleted ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Deleted ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Deleted ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
Deleted ! [HKCU\Software\bisoft]
Deleted ! [HKCU\Software\DateTime4]
Deleted ! [HKCU\Software\MuleAppData]
Deleted ! [HKCU\Software\WS4001]
Deleted ! [HKCR\ed2k]
Deleted ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Deleted ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Deleted ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Deleted ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Deleted ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | State |

# Safe boot mode restored !

# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Corrupted Files |

Corrupted : C:\Programmi\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000E4 - Value = 0x0001]

Corrupted : C:\RECYCLER\S-1-5-21-1757981266-1060284298-1202660629-1003\Dc3.exe
[Offset = 00000204 - Value = 0x0001]

Corrupted : C:\RECYCLER\S-1-5-21-1757981266-1060284298-1202660629-1003\Dc5.exe
[Offset = 000000EC - Value = 0x0001]

Corrupted : C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB923561\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB925720\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB938127-v2-IE7\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB961118\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB978037\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\$hf_mig$\KB978542\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\SoftwareDistribution\Download\0c26e47e07a4c6331f0b4ccdac130608\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\SoftwareDistribution\Download\5d489f496e4e9f3aa0ab2184f06a9537\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\SoftwareDistribution\Download\77e8dbcf65004c9a12c04290c88df4c5\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\SoftwareDistribution\Download\be9e26e54f7a2d73396715001d0e1e17\update\update.exe
[Offset = 000000EC - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000EC - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\SoftwareDistribution\Download\e10c6cff30da6e8f03631d1b72af3dba\update\update.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : update.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

Corrupted : C:\WINDOWS\system32\dllcache\register.exe
[Offset = 000000E4 - Value = 0x0001]

Attempt of repair...
Backup : register.exe.REN
[Offset = 000000E4 - New value = 0x4C01]
File repaired successfully.

################## | Upload |

Please send the file : C:\FindyKill_Upload_Me_XXX-0DEBD40D8BC.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution .

################## | End of Report # FindyKill V5.043 ! |

di **-> EleKtrA <-** » 01/06/10 21:17

Ora riprova con Combofix

Scarica Combofix | Tutorial
Non installare la recovery console
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

Allega i log nel Topic inserendoli nel tag "code". (CLICCA)

di **pittipatti** » 01/06/10 22:00

Codice: Seleziona tutto: ComboFix 10-06-01.01 - Michele 01/06/2010 22.30.07.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.535.253 [GMT 2:00] Eseguito da: c:\documents and settings\Michele\Desktop\abc.exe . ((((((((((((((((((((((((( Files Creati Da 2010-05-01 al 2010-06-01 ))))))))))))))))))))))))))))))))))) . 2010-05-29 08:31 . 2010-05-29 08:31 -------- d-----w- c:\windows\ShellNew 2010-05-24 09:41 . 2010-05-24 09:41 503808 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-105a2c7e-n\msvcp71.dll 2010-05-24 09:41 . 2010-05-24 09:41 61440 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-745fafbe-n\decora-sse.dll 2010-05-24 09:41 . 2010-05-24 09:41 499712 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-105a2c7e-n\jmc.dll 2010-05-24 09:41 . 2010-05-24 09:41 348160 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-105a2c7e-n\msvcr71.dll 2010-05-24 09:41 . 2010-05-24 09:41 12800 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-745fafbe-n\decora-d3d.dll 2010-05-24 09:40 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-05-20 13:09 . 2010-05-10 09:43 289960 -c----w- c:\documents and settings\All Users\Dati applicazioni\miofotografo.it\myComposer\{3CD7E634-9602-4FB7-B906-4C016328A57C}\Update\dd.exe 2010-05-20 13:09 . 2010-05-10 09:43 6031576 -c----w- c:\documents and settings\All Users\Dati applicazioni\miofotografo.it\myComposer\{3CD7E634-9602-4FB7-B906-4C016328A57C}\Update\PhotoGenie.exe 2010-05-20 13:09 . 2010-05-10 09:43 138920 -c----w- c:\documents and settings\All Users\Dati applicazioni\miofotografo.it\myComposer\{3CD7E634-9602-4FB7-B906-4C016328A57C}\Update\dih.exe 2010-05-20 07:30 . 2010-06-01 13:13 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\vlc 2010-05-19 13:22 . 2010-05-19 13:22 -------- d-----w- c:\windows\system32\XPSViewer 2010-05-19 13:22 . 2010-05-19 13:22 -------- d-----w- c:\programmi\MSBuild 2010-05-19 13:22 . 2010-05-19 13:22 -------- d-----w- c:\programmi\Reference Assemblies 2010-05-19 13:21 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll 2010-05-19 13:21 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2010-05-19 13:21 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2010-05-19 13:21 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2010-05-19 13:21 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2010-05-19 13:21 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2010-05-19 13:21 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe 2010-05-19 13:21 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2010-05-19 13:21 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2010-05-19 13:10 . 2010-05-19 13:10 -------- d-----w- c:\programmi\MSXML 6.0 2010-05-18 13:57 . 2010-05-18 13:57 136 ----a-w- c:\documents and settings\Michele\Impostazioni locali\Dati applicazioni\fusioncache.dat 2010-05-18 13:57 . 2010-05-19 12:19 -------- d-----w- c:\documents and settings\Michele\Impostazioni locali\Dati applicazioni\ApplicationHistory 2010-05-17 18:56 . 2005-09-23 20:18 171520 ----a-w- c:\windows\system32\drivers\MarvinBus.sys 2010-05-17 18:56 . 2010-05-17 18:56 -------- d-----w- c:\programmi\File comuni\Pinnacle 2010-05-17 18:55 . 2010-05-17 18:55 -------- d-----w- c:\documents and settings\Michele\Impostazioni locali\Dati applicazioni\Downloaded Installations 2010-05-17 07:13 . 2010-05-17 07:13 -------- d-----w- c:\programmi\programaxisbeep 2010-05-17 07:09 . 2010-05-20 07:53 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\title 64 default software 2010-05-17 07:08 . 2010-05-20 07:55 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\programaxisbeep 2010-05-17 07:08 . 2010-05-17 07:13 -------- d-----w- c:\programmi\TorrentSpeeder 2010-05-16 10:55 . 2010-05-16 10:55 -------- d-----w- c:\windows\Cache 2010-05-16 08:23 . 2010-05-16 08:23 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Sonic 2010-05-16 08:22 . 2010-05-16 08:22 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\Roxio 2010-05-16 08:20 . 2010-05-16 15:21 -------- d-----w- c:\programmi\File comuni\Roxio Shared 2010-05-16 07:36 . 2010-05-16 07:45 -------- d-----w- c:\windows\system32\URTTemp 2010-05-16 07:24 . 2010-05-16 07:24 -------- d-----w- c:\programmi\PowerISO 2010-05-16 07:02 . 2010-05-16 07:02 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\Uniblue 2010-05-16 07:02 . 2010-05-16 07:02 -------- d-----w- c:\programmi\Uniblue 2010-05-14 07:59 . 2004-08-19 13:39 25600 ----a-w- c:\documents and settings\LocalService\Dati applicazioni\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 2010-05-14 07:55 . 2010-06-01 17:03 -------- d-----w- c:\programmi\eMule . (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-01 20:41 . 2008-02-13 18:08 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\Skype 2010-06-01 20:09 . 2000-01-01 02:32 1744 ----a-w- c:\windows\system32\d3d9caps.dat 2010-06-01 20:04 . 2008-03-01 14:18 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\skypePM 2010-06-01 19:57 . 2010-06-01 19:57 1930 -c--a-w- C:\FindyKill_Upload_Me_XXX-0DEBD40D8BC.zip 2010-06-01 17:33 . 2010-06-01 17:33 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files 2010-06-01 16:39 . 2010-06-01 16:39 -------- d-----w- c:\programmi\File comuni\Skype 2010-06-01 16:39 . 2010-06-01 16:39 -------- d-----w- c:\documents and settings\Michele\Dati applicazioni\dvdcss 2010-06-01 16:39 . 2009-11-08 13:58 -------- d-----r- c:\programmi\Skype 2010-05-29 08:37 . 2009-09-14 16:09 -------- d-----w- c:\programmi\INQ1 PCSync 2010-05-28 12:10 . 2010-03-09 18:37 -------- d-----w- c:\programmi\AVS4YOU 2010-05-28 11:07 . 2010-03-09 18:40 -------- d-----w- c:\programmi\File comuni\AVSMedia 2010-05-27 08:43 . 2008-02-13 09:33 109920 -c--a-w- c:\documents and settings\Michele\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT 2010-05-25 10:53 . 2001-08-31 15:00 77462 ----a-w- c:\windows\system32\perfc010.dat 2010-05-25 10:53 . 2001-08-31 15:00 475482 ----a-w- c:\windows\system32\perfh010.dat 2010-05-24 09:44 . 2008-04-02 08:14 -------- d-----w- c:\programmi\File comuni\Java 2010-05-24 09:40 . 2008-04-02 08:14 -------- d-----w- c:\programmi\Java 2010-05-20 16:36 . 2010-03-09 19:16 -------- d-----w- c:\programmi\FreeTime 2010-05-20 16:34 . 2008-02-13 16:56 -------- d-----w- c:\programmi\Google 2010-05-20 15:15 . 2009-10-01 16:14 160927 -c--a-w- c:\documents and settings\Michele\Dati applicazioni\mdbu.bin 2010-04-12 08:44 . 2010-04-12 08:44 59388 ----a-w- c:\windows\system32\drivers\scdemu.sys 2010-04-08 07:08 . 2008-02-13 11:51 -------- d-----w- c:\programmi\File comuni\Adobe 2010-03-30 20:45 . 2010-03-30 20:45 50354 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Facebook\uninstall.exe 2010-03-26 08:33 . 2010-04-14 12:14 1496064 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll 2010-03-26 08:33 . 2010-04-14 12:14 43008 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll 2010-03-26 08:33 . 2010-04-14 12:14 339456 -c--a-w- c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll 2010-03-26 08:32 . 2010-04-14 12:14 346112 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll 2010-03-19 11:02 . 2009-09-15 07:10 1632 -c--a-w- c:\windows\system32\d3d8caps.dat 2010-03-11 12:30 . 2004-08-19 13:39 832512 ----a-w- c:\windows\system32\wininet.dll 2010-03-11 12:30 . 2004-08-19 13:39 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-03-11 12:30 . 2004-08-19 13:39 17408 ----a-w- c:\windows\system32\corpol.dll 2010-03-09 20:11 . 2010-03-09 20:11 1518 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_283C12554A2F3F11A69B8C.exe 2010-03-09 20:11 . 2010-03-09 20:11 766 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_6FEFF9B68218417F98F549.exe 2010-03-09 20:11 . 2010-03-09 20:11 2550 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_B5E3A18A6AA05C3A9DA805.exe 2010-03-09 20:11 . 2010-03-09 20:11 1078 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_7FFD7BFF92CF43379B51F2.exe 2010-03-09 20:11 . 2010-03-09 20:11 1078 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_55A89580C2F922D1975B0F.exe 2010-03-09 20:11 . 2010-03-09 20:11 10134 -c--a-r- c:\documents and settings\Michele\Dati applicazioni\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_E1ADC260A7459A0D7C13A2.exe 2010-03-09 11:09 . 2004-08-19 13:39 430080 ----a-w- c:\windows\system32\vbscript.dll 2010-03-06 05:30 . 2010-03-06 05:30 847040 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Facebook\axfbootloader.dll 2010-03-06 05:30 . 2010-03-06 05:30 5582848 ----a-w- c:\documents and settings\Michele\Dati applicazioni\Facebook\npfbplugin_1_0_3.dll . ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* i valori vuoti & legittimi/default non sono visualizzati. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programmi\Skype\Phone\Skype.exe" [2010-05-13 26192168] "msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-02-18 248040] "Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272] "Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768] "PWRISOVM.EXE"="c:\programmi\PowerISO\PWRISOVM.EXE" [2010-04-12 180224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360] c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\ Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2009-10-7 110592] Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programmi\\GlobalSCAPE\\CuteFTP\\cutftp32.exe"= "c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programmi\\Skype\\Phone\\Skype.exe"= R3 trid3d;trid3d;c:\windows\system32\drivers\trid3dm.sys [12/02/2008 21.13.45 222336] S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [02/05/2010 12.17.41 136176] S3 INQ1usbser;INQ1 USB Device for Legacy Serial Communication;c:\windows\system32\drivers\INQ1usbser.sys [14/09/2009 18.09.38 103680] . Contenuto della cartella 'Scheduled Tasks' 2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programmi\Google\Update\GoogleUpdate.exe [2010-05-02 10:17] 2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programmi\Google\Update\GoogleUpdate.exe [2010-05-02 10:17] 2010-06-01 c:\windows\Tasks\User_Feed_Synchronization-{120BBF99-6C1D-4328-9DE4-51B954E9A451}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 17:36] . . ------- Scansione supplementare ------- . uStart Page = hxxp://www.yahoo.it/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = iexplore uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to AMV Converter... - c:\programmi\MP3 Player Utilities 4.10\AMVConverter\grab.html IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: MediaManager tool grab multimedia file - c:\programmi\MP3 Player Utilities 4.10\MediaManager\grab.html DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab FF - ProfilePath - c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q= FF - component: c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\5hgp7eyr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - plugin: c:\documents and settings\Michele\Dati applicazioni\Facebook\npfbplugin_1_0_3.dll FF - plugin: c:\programmi\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programmi\Mozilla Firefox\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX POLICIES ---- c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . - - - - CHIAVI ORFANE RIMOSSE - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) AddRemove-does send error - c:\docume~1\Michele\DATIAP~1\PROGRA~1\16 Up.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-01 22:41 Windows 5.1.2600 Service Pack 2 NTFS scansione processi nascosti ... scansione entrate autostart nascoste ... Scansione files nascosti ... Scansione completata con successo Files nascosti: 0 ************************************************************************** . --------------------- CHIAVI DI REGISTRO BLOCCATE --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*] "0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Dlls caricate dai processi in esecuzione --------------------- - - - - - - - > 'explorer.exe'(2780) c:\windows\system32\WININET.dll c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Ora fine scansione: 2010-06-01 22:47:51 ComboFix-quarantined-files.txt 2010-06-01 20:47 Pre-Run: 4.665.344.000 byte disponibili Post-Run: 5.352.910.848 byte disponibili WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 3D388465771969204B23B501AD9A1B3F

di **-> EleKtrA <-** » 02/06/10 09:06

Il log di Combofix risulta pulito.

Ora ti guiderò in una serie di Step per cercare di ottimizzare il computer.

Disinstalla FindyKill con l'opzione 3

Step 1: Pulizia dei file temporanei
Scarica TFC by OldTimer sul desktop
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Step 2: Pulizia e disinstallazione dei tool usati
Scarica OTC by OldTimer sul desktop
doppio clic per eseguirlo
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.

Step 4: aggiornamento dei software
- Scarica e installa l'ultima versione di Adobe Reader
- Scarica e installa l'ultima versione di Java Sun
- Aggiorna Adobe FlashPlayer:
1. Scarica il programma di disinstallazione di FlashPlayer
2. Scarica l'ultima versione di FlashPlayer per IE
3. Scarica l'ultima versione di FlashPlayer per FF
4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
5. Esegui il programma di disinstallazione scaricato al punto 1.
6. Esegui il programma di installazione scaricato al punto 2.
7. Esegui il programma di installazione scaricato al punto 3.

Step 5: Correzione piccoli errori e velocizzazione del Sistema

- Esegui una deframmentazione degli hardisk, puoi usare IObit SmartDefrag.
Oppure con l' utility interna di windows:
Start / Programmi / Accessori / Utilità di sistema / Utilità di deframmentazione dischi.

- Esegui uno Scandisk:
Apri Risorse del computer / Tasto destro sul disco fisso / proprietà / Strumenti / Esegui Scandisk
Seleziona entrambe le opzioni:
correggi automaticamente gli errori del File system,
cerca i settori danneggiati e tenta il ripristino.
Si aprirà una finestra di avvertimento:
Impossibile ottenere accesso esclusivo ad alcuni file di Windows...
Clicca su "SI" per pianificare l'operazione al prossimo avvio.

Installa un antivirus, meglio Avira AntiVir Personal - FREE ed esegui una scansione completa.

di **pittipatti** » 02/06/10 13:02

Innanzi tutto grazie, una spiegazione facile ed esauriente, il pc è tornato come e meglio di prima!
Ho provato a disinstallare il Findkill con l'opzione "3" si apre una pagina di internet del loro sito, alla "4"
c'è l'opzione ma non lo disinstalla.

di **-> EleKtrA <-** » 02/06/10 13:10

Si, vero è l'opzione 4.
Dopo aver eseguito questa opzione elimina il setup e la cartella FyK che trovi nel disco locale (C:).

di **pittipatti** » 02/06/10 17:55

Ho fatto tutto, l'antivirus sta facendo la scansione, ma come mai ci mette tanto a scaricare gli aggiornamenti?
I programmi di pulizia ogni quanto li posso usare? il combofix è meglio che lo lascio sul desk? Ho disistallato Emule,
perchè sicuramente l'ho preso da li, posso stare senza antivirus, dato che mi rallenta molto il pc?
Ancora grazie della tua pazienza e soprattutto competenza!

di **-> EleKtrA <-** » 02/06/10 19:15

ma come mai ci mette tanto a scaricare gli aggiornamenti?

Ci mette un pò di più la prima volta perchè ne deve scaricare una quantità maggiore.

I programmi di pulizia ogni quanto li posso usare? il combofix è meglio che lo lascio sul desk?

No, sono tool "usa e getta". Quanto ti serviranno dovrai scaricare le nuove versioni.

posso stare senza antivirus, dato che mi rallenta molto il pc?

Meglio di no, specie se navighi o usi programmi tipo Emule.
Ti ho consigliato Antivir perchè oltre ad essere efficace è uno dei più leggeri.

di **pittipatti** » 03/06/10 08:42

Un ultima domanda, ho delle chiavette usb che penso di aver usato mentre il pc era infetto, posso inserirle tranquillamente nel pc avendo l'antivirus?

di **-> EleKtrA <-** » 03/06/10 08:53

Asssolutamente no, devi disinfettarle.

Puoi usare Flash Disinfector oppure UsbFix.

di **pittipatti** » 03/06/10 09:23

Incollo il file di testo, che devo fare adesso?

Codice: Seleziona tutto: ############################## | UsbFix 7.003 | User: Michele (Administrator) # XXX-0DEBD40D8BC [ ] Updated 01/06/10 by El Desaparecido & C_XX Started at 10:09:04 | 03/06/2010 Website: http://pagesperso-orange.fr/NosTools/index.html Contact: FindyKill.Contact@gmail.com Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 2 Internet Explorer 7.0.5730.13 Windows Firewall: Disabled /!\ Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated] RAM -> 535 Mb C:\ (%systemdrive%) -> Fixed drive # 14 Gb (5 Mb free - 34%) [] # NTFS D:\ -> Fixed drive # 5 Gb (4 Mb free - 80%) [] # FAT32 E:\ -> CD-ROM F:\ -> CD-ROM G:\ -> CD-ROM H:\ -> Removable drive # 7 Gb (351 Mb free - 5%) [USB DISK] # FAT32 ################## | Files # Infected Folders | Found ! C:\Recycler\S-1-5-21-1757981266-1060284298-1202660629-1003 ################## | Registry | Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives ################## | Mountpoints2 | HKCU\.\.\.\.\Explorer\MountPoints2\{0610cce0-ab84-11de-8fa9-000acd158ec6} Shell\AutoRun\Command = G:\AutoRun.exe ################## | Vaccin | (!) This computer is not vaccinated! ################## | E.O.F |

di **-> EleKtrA <-** » 03/06/10 09:40

Clicca sul pulsante "Suppression" per eliminare le voci infette,
infine clicca su "Vacciner" per vaccinare il sistema in uso.

di **torchio** » 03/06/10 19:32

ciao, vi racconto il problema del mio pc. da tempo avira non mi dava più l'aggiormamento (errore download), mi rendo conto che il pc inizia ad andare lento, metto il panda, lancio la scansione e trova 17 virus, alcuni eliminati altri in quarantena, però ogni volta che accendo il pc, appare un finestra che dice che panda ha bloccato un malware in win 32 wxplore.exe csrcs, in file di registro.
il computer dopo poco che è acceso si impalla e sono costretto tutte le volte a spegnere ed accendere il pc. Lancio advanced sistem care, trova dei troian, poi riparo i file di sistema, ma nulla si blocca sempre; leggendo il forum scarico combofix, la scansione, rivela un programma di ROOT KIT, la scansione elimina dei file ed altri in quarantena, il problema sembra risolto, perchè all'accensione non mi appare più la schermata del malware sul file di registro, eppure perchè il computer si blocca all'aimprovviso? scarico hijackthis ma mi dice file non eseguibile in win 32
spero qualcuno mi dia una mano a risolvere il problema
grazie.

di **torchio** » 03/06/10 20:46

ho rilanciato combofix, rileva di nuovo un attività di root kit! cosa fare?

di **-> EleKtrA <-** » 03/06/10 22:07

Ciao torchio, inizia ad allegare il log di Combofix inserendolo nel tag "code". (CLICCA)

di **torchio** » 03/06/10 22:15

ti faccio un copia e incolla di find kill

############################## | FindyKill V5.043 |

# User : Fabio (Administrators) # AMILO
# Update on 12/05/2010 by El Desaparecido
# Start at: 22.06.00 | 03/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU T2050 @ 1.60GHz
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : Panda Antivirus Pro 2010 9.00.00 [ Enabled | Updated ]
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | (!) Outdated ]
# FW : Panda Personal Firewall 2010[ Enabled ]9.00.00

# C:\ # Disco rigido locale # 37,26 Go (10,63 Go free) # NTFS
# D:\ # Disco rigido locale # 37,26 Go (20,05 Go free) # NTFS
# E:\ # Disco CD-ROM

################## | Infected File |

################## | MD5 ... |

################## | CRC32 ... |

################## | Registry |

################## | State |

# Safe boot mode : OK

# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Corrupted Files |

... OK !

################## | Upload |

Non è un applicaziome di win 32 valida

Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Re: Non è un applicaziome di win 32 valida

Topic correlati a "Non è un applicaziome di win 32 valida":

Chi c’è in linea