Chiave registro infetto da BHO.SGPSA.A

[plus81]

Salve a tutti. Il mio PC appena carica windows dopo qualche secondo si blocca con il puntatore del mouse trasformato in clessidra (come quando carica un programma) e non mi permette di fare nessuna operazione. Entrando in modalità provvisoria ho lanciato VirIT eXplorer e mi segnala che una chiave del registro è infetta da BHO.SGPSA.A. Ho lanciato HijackThis e caricato il file su questo link: http://www.yourfilelink.com/get.php?fid=566226.
Spero possiate darmi qualche suggerimento su come risolvere il problema. GRAZIE

[FDAC]

Ciao Plus,
apri HJT in modalità provvisoria ovviamente, do a system scan only e metti la spunta su queste voci:

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfre0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
O2 - BHO: (no name) - {8a9d74f9-560b-4fe7-abeb-3b2e638e5cd6} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O2 - BHO: UrlHelper Class - {CFC4F59B-A2DA-4e12-B337-52A4F871E10C} - C:\Programmi\Shareaza Applications\MediaBar\DataMngr\IEBHO.dll
O2 - BHO: Ask Toolbar BHO - {d4027c7f-154a-4066-a1ad-4243d8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfre0.dll
O2 - BHO: MediaBar - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\Programmi\Shareaza Applications\MediaBar\ToolBar\ShareazaMediabarDx.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programmi\free-downloads.net\tbfre0.dll
O3 - Toolbar: MediaBar - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\Programmi\Shareaza Applications\MediaBar\ToolBar\ShareazaMediabarDx.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://C:\Documents and Settings\Generoso\Desktop\GENEROSO\LAVORO\LAvoro_corso_di_informatica\MATERIALE_INTERNET\PATENTE EUROPEA\install\AuthorwareFull\AwareWebPlayer\Download\Smart\Cab\awswaxf.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://pallagonfia.spaces.live.com//Pho ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8168844937
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://pallagonfia.spaces.live.com/Phot ... nPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\SHAREA~1\MediaBar\\DataMngr\datamngr.dll

dopodichè premi su Fix checked.

Vai in installazione applicazioni e disinstalla tutte le toobar che vedi.

scarica e installa malwarebytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Poi posta il rapporto di malwarebytes.

[plus81]

Ho fatto ciò che mi hai detto fino alla eliminazione delle toolbar. Alcune toolbar le ho disinstallate, ma Ask toolbar e MSN toolbar non me le fa rimuovere in modalità provvisoria. Come devo fare?

[MacGee]

http://translate.google.it/translate?hl ... %26hl%3Dit

[plus81]

Purtroppo il pc infetto non mi permette più di collegarmi in internet. Ho scaricato il programma dal link suggerito con un altro pc, ma non riesco a trasferirlo sul pc infetto perchè in modalità provvisoria non mi legge la chiavetta usb. Ho cmq lanciato Malwarebytes Anti-Malware e non mi rileva nessuna minaccia. Ho lanciato anche VIRIT-LT e non mi dà più l'infezione nel registro che mi dava all'inizio. Cosa mi suggerite? Riavvio in modalità normale, o c'è il pericolo che il virus si riattivi? Grazie

[plus81]

Ho risolto il problema della connessione ad internet. Ho scaricato ed installato Revo Uninstaller, ma anche con questo programma non mi fa disistallare ASK TOOLBAR e MSN TOOLBAR in modalità provvisoria. Ho fatto una scansione con Malwarebytes' Anti-Malware ottenendo il seguente file LOG:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4488

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13

28/08/2010 12.35.45
mbam-log-2010-08-28 (12-35-45).txt


Come devo procedere? GRAZIE

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 416237
Tempo trascorso: 49 minuti, 6 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[MacGee]

Cerchiamo di sfruttare il fatto che riesci a navigare almeno in mod.provvisoria.
-Scarica installa e aggiorna Spyboot S&D ed esegui una scansione correggendo le infezioni trovate.
-Scarica rinominandolo in abc.exe Combofix e lo esegui senza installare la consolle di ripristino e scollegandoti fisicamente da internet, alla fine allega il report.

http://www.safer-networking.org/it/spybotsd/index.html

http://www.bleepingcomputer.com/combofi ... e-combofix

I tuoi problemi di vulnerabilità sono dovuti al fatto che il tuo sistema manca di tanti aggiornamenti da WinUpdate, sei fermo al SP2, il SP3 serve. Ciao.

[plus81]

Ho fatto tutto. Allego qui sotto il report ottenuto con COMBOFIX:

ComboFix 10-08-27.03 - Generoso 28/08/2010 21.10.18.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1022.734 [GMT 2:00]
Eseguito da: c:\documents and settings\Generoso\Desktop\abc.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Davide\RavMonLog
c:\documents and settings\Generoso\Dati applicazioni\EurekaLog
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\~DFK9ae968.tmp
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\1eaadjc.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\bass.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\kfgresk.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\mjcriu.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\peaadje.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\qwadjb.dll
c:\documents and settings\Generoso\Dati applicazioni\Microsoft\rsaadjd.dll
c:\documents and settings\Generoso\Impostazioni locali\Dati applicazioni\kseoi.dat
c:\documents and settings\Generoso\Impostazioni locali\Dati applicazioni\kseoi_nav.dat
c:\documents and settings\Generoso\Impostazioni locali\Dati applicazioni\kseoi_navps.dat
c:\documents and settings\Generoso\RavMonLog
c:\programmi\autorun.inf
c:\programmi\version.txt
c:\windows\recover.reg
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((( Files Creati Da 2010-07-28 al 2010-08-28 )))))))))))))))))))))))))))))))))))
.

2010-08-28 18:56 . 2010-08-28 18:59 -------- d-----w- C:\abc
2010-08-28 17:39 . 2010-08-28 17:39 -------- d-----w- c:\windows\LastGood
2010-08-28 17:38 . 2010-08-28 17:38 -------- d-----w- c:\windows\LastGood.Tmp
2010-08-28 14:52 . 2010-08-28 14:52 -------- d-----w- c:\programmi\SDHelper (Spybot - Search & Destroy)
2010-08-28 14:52 . 2010-08-28 14:52 -------- d-----w- c:\programmi\TeaTimer (Spybot - Search & Destroy)
2010-08-28 14:52 . 2010-08-28 14:52 -------- d-----w- c:\programmi\Misc. Support Library (Spybot - Search & Destroy)
2010-08-28 14:52 . 2010-08-28 14:52 -------- d-----w- c:\programmi\File Scanner Library (Spybot - Search & Destroy)
2010-08-28 13:05 . 2010-08-28 13:05 -------- d-----w- c:\documents and settings\Generoso\Impostazioni locali\Dati applicazioni\VS Revo Group
2010-08-28 13:05 . 2009-12-30 10:20 27064 ----a-w- c:\windows\system32\drivers\revoflt.sys
2010-08-28 13:05 . 2010-08-28 13:05 -------- d-----w- c:\programmi\VS Revo Group
2010-08-27 13:10 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-27 13:10 . 2010-08-27 13:10 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-08-27 13:10 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-26 15:06 . 2004-08-03 20:59 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-08-26 15:06 . 2004-08-03 20:59 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-08-26 15:06 . 2004-08-03 21:00 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-08-26 15:06 . 2004-08-03 21:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-08-26 15:06 . 2001-08-17 18:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2010-08-26 15:06 . 2001-08-17 18:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2010-08-26 15:06 . 2004-08-03 21:00 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-08-26 10:35 . 2010-08-26 10:35 2944904 ----a-w- c:\documents and settings\Generoso\Dati applicazioni\Mozilla\Firefox\Profiles\7d125c26.default\extensions\toolbar@ask.com\chrome\temp\askToolbar.exe
2010-08-14 10:47 . 2010-08-14 10:47 -------- d-----w- c:\documents and settings\Generoso\Impostazioni locali\Dati applicazioni\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-28 19:00 . 2010-05-29 11:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Alwil Software
2010-08-28 17:46 . 2007-12-04 18:32 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2010-08-28 17:45 . 2007-12-04 18:32 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-28 17:37 . 2010-01-13 22:09 -------- d-----w- c:\documents and settings\Generoso\Dati applicazioni\Tor
2010-08-28 11:01 . 2005-08-03 15:27 -------- d-----w- c:\programmi\Servizi in linea
2010-08-28 08:13 . 2005-08-05 09:52 -------- d-----w- c:\programmi\Google
2010-08-28 08:11 . 2009-09-11 16:19 -------- d-----w- c:\programmi\Ask.com
2010-08-27 14:12 . 2010-07-05 15:09 717296 ----a-w- c:\windows\system32\drivers\SPTD.SYS.TMP
2010-08-27 12:39 . 2010-01-14 11:15 -------- d-----w- c:\programmi\CCleaner
2010-08-26 17:19 . 2010-08-26 17:19 12 ----a-w- c:\windows\system32\config\systemprofile\Dati applicazioni\bawuho.dat
2010-08-26 17:19 . 2010-01-13 22:09 -------- d-----w- c:\documents and settings\Generoso\Dati applicazioni\Vidalia
2010-08-26 15:06 . 2010-08-26 15:06 12 ----a-w- c:\documents and settings\Davide\Dati applicazioni\bawuho.dat
2010-08-25 19:17 . 2007-09-21 08:47 -------- d-----w- c:\programmi\eMule
2010-08-06 18:10 . 2010-05-30 13:17 -------- d-----w- c:\documents and settings\Generoso\Dati applicazioni\Shareaza
2010-08-06 18:10 . 2010-05-30 13:17 -------- d-----w- c:\programmi\Shareaza
2010-07-23 18:20 . 2010-07-23 18:20 -------- d-----w- c:\programmi\vanBasco's Karaoke Player
2010-07-21 19:01 . 2009-07-15 16:09 45312 ----a-w- c:\windows\system32\drivers\VIRAGTLT.SYS
2010-07-19 11:00 . 2009-09-16 09:05 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-07-14 10:36 . 2009-11-24 14:06 47564 ----a-w- C:\NTDETECT.COM.TMP
2010-07-14 10:36 . 2009-11-24 14:06 251072 ----a-w- C:\NTLDR.TMP
2010-07-05 15:09 . 2009-11-25 16:48 32458 -c--a-w- c:\windows\SCHEDLGU.TXT.TMP
2010-07-03 14:06 . 2010-07-03 14:06 664 ----a-w- c:\documents and settings\Davide\Impostazioni locali\Dati applicazioni\d3d9caps.dat
2010-06-23 16:35 . 2010-06-23 16:35 501936 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Google\Google Toolbar\Update\gtbB.tmp.exe
2010-06-13 19:04 . 2010-06-13 19:04 286352 ----a-w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2010-06-09 08:01 . 2010-06-09 08:01 20330720 ----a-w- c:\documents and settings\Generoso\Dati applicazioni\TomTom\HOME\Profiles\apl857js.default\Updates\v2_7_4_1962_win.exe
2010-04-01 11:17 . 2010-04-01 11:17 604 ---ha-w- c:\programmi\STLL Notifier
2009-07-16 08:00 . 2008-03-16 17:10 6144 --sha-w- c:\programmi\Thumbs.db
2003-05-16 00:31 . 2003-05-16 00:31 2508645 ----a-w- c:\programmi\sonnet-9519.cab
2003-05-16 00:31 . 2003-05-16 00:31 198 ----a-w- c:\programmi\sonnet.ver
2003-05-16 00:31 . 2003-05-16 00:31 1078 ----a-w- c:\programmi\cdicon.ico
2003-05-16 00:31 . 2003-05-16 00:31 2620680 ----a-w- c:\programmi\sonnet-9518.cab
2003-05-16 00:31 . 2003-05-16 00:31 2620827 ----a-w- c:\programmi\sonnet-9517.cab
2003-05-16 00:31 . 2003-05-16 00:31 2618403 ----a-w- c:\programmi\sonnet-9516.cab
2003-05-16 00:31 . 2003-05-16 00:31 3064571 ----a-w- c:\programmi\sonnet-9515.cab
2003-05-16 00:31 . 2003-05-16 00:31 4065692 ----a-w- c:\programmi\sonnet-9514.cab
2003-05-16 00:31 . 2003-05-16 00:31 3256077 ----a-w- c:\programmi\sonnet-9513.cab
2003-05-16 00:30 . 2003-05-16 00:30 2858977 ----a-w- c:\programmi\sonnet-9512.cab
2003-05-16 00:30 . 2003-05-16 00:30 20880 ----a-w- c:\programmi\sonnet-9511.cab
2003-05-16 00:30 . 2003-05-16 00:30 1538048 ----a-w- c:\programmi\sonnet-951.msi
2003-05-16 00:30 . 2003-05-16 00:30 740 -c--a-w- c:\programmi\setup.ini
2003-05-16 00:30 . 2003-05-16 00:30 1499904 ----a-w- c:\programmi\instmsiw.exe
2003-05-16 00:30 . 2003-05-16 00:30 1489152 ----a-w- c:\programmi\instmsi.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="c:\programmi\Vidalia Bundle\Vidalia\vidalia.exe" [2009-11-20 5262834]
"VeohPlugin"="c:\programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2010-04-28 2633976]
"updatemgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"tomtomhome.exe"="c:\programmi\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-31 68856]
"softauto.exe"="c:\programmi\Creative\Software Update 3\SoftAuto.exe" [2008-05-28 401408]
"launchlist"="c:\programmi\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 145496]
"ea core"="c:\programmi\Electronic Arts\EADM\Core.exe" [2009-09-03 3342336]
"alcoholautomount"="c:\programmi\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-02 203928]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirtualCloneDrive"="c:\programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"virit lite monitor"="c:\vexplite\MONLITE.EXE" [2010-07-21 278528]
"ulead autodetector v2"="c:\programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"sunjavaupdatesched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"soundman"="SOUNDMAN.EXE" [2004-10-27 73728]
"smserial"="sm56hlpr.exe" [2004-06-29 569344]
"remotecontrol"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"nerofiltercheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"DataMngr"="c:\progra~1\SHAREA~1\MediaBar\\DataMngr\DataMngrUI.exe" [2010-02-23 786368]
"controllo del calendario di ulead photo express"="c:\programmi\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 69632]
"atipta"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Color Calibration.lnk - c:\programmi\SEC\MagicTune3.5_Client\GammaTray.exe [2007-8-1 36864]
Digisoft AntiDialer.lnk - c:\programmi\Digisoft AntiDialer\AntiDialer.exe [2003-8-19 730112]
MagicTune 3.5.lnk - c:\programmi\SEC\MagicTune3.5_Client\MagicTuneTray.exe [2007-8-1 45056]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
NaturalColorLoad.lnk - c:\programmi\SEC\Natural Color\NaturalColorLoad.exe [2007-8-1 155715]
WinZip Quick Pick.lnk - c:\programmi\WinZip\WZQKPICK.EXE [2005-8-3 118784]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\philipsdm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\philipsdm\sa1916]
2008-05-30 17:07 1512448 ----a-w- c:\programmi\Philips\SA19xx\Philips Device Manager\bin\DeviceManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Wolfram Research\\Mathematica\\5.1\\Mathematica.exe"=
"c:\\Programmi\\Wolfram Research\\Mathematica\\5.1\\MathKernel.exe"=
"c:\\Programmi\\Wolfram Research\\Mathematica\\5.1\\math.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programmi\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programmi\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programmi\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Electronic Arts\\EADM\\Core.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13352:TCP"= 13352:TCP:NortonAV
"12601:TCP"= 12601:TCP:NortonAV

R0 VIRAGTLT;VIRAGTLT;c:\windows\system32\drivers\VIRAGTLT.SYS [15/07/2009 18.09.47 45312]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [08/02/2010 23.17.11 135664]
S2 LVPORTIO;LV Port IO;c:\windows\system32\drivers\Lvportio.sys [04/06/2007 18.49.22 3936]
S2 RTWTKRNL;Real-Time Windows Target;c:\windows\system32\drivers\RTWTKRNL.sys [02/05/2008 10.05.45 27520]
S2 tomtomhomeservice;TomTomHOMEService;c:\programmi\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13.31.14 92008]
S2 viritsvclite;Virit eXplorer Lite;c:\vexplite\VIRITSVC.EXE [10/10/2007 12.12.34 81920]
S3 CTUPnPSv;Creative Centrale Media Server;c:\programmi\Creative\Creative Centrale\CTUPnPSv.exe [21/05/2008 13.42.56 64000]
S3 Revoflt;Revoflt;c:\windows\system32\drivers\revoflt.sys [28/08/2010 15.05.42 27064]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25/11/2008 17.19.42 717296]
.
Contenuto della cartella 'Scheduled Tasks'

2010-08-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-08 21:17]

2010-08-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-08 21:17]

2010-08-27 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programmi\Ask.com\UpdateTask.exe [2009-07-10 15:29]

2010-08-28 c:\windows\Tasks\User_Feed_Synchronization-{24343FE9-0665-4401-B136-5EAFF619D475}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 16:36]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-skytel - SkyTel.EXE
HKLM-Run-rthdcpl - RTHDCPL.EXE
AddRemove-RealTimeWindowsTarget - c:\windows\rtwintgt -uninstall



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-28 21:15
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\mobilev.acm
c:\windows\system32\vorbis.acm
c:\windows\system32\ac3acm.acm
c:\windows\system32\sirenacm.dll
.
Ora fine scansione: 2010-08-28 21:18:21
ComboFix-quarantined-files.txt 2010-08-28 19:18

Pre-Run: 11.128.393.728 byte disponibili
Post-Run: 12.822.880.256 byte disponibili

- - End Of File - - 1E94DE518307B2D2BD3E6B2EC71D376E


Attendo ulteriori suggerimenti.

[Luke57]

Ciao, il computer era affetto anche da navipromo che combofix ha eliminato. Da risorse del computer>strumenti>opzioni cartella>visualizzazione, metti la spunta a "visualizza file e cartelle nascosti">OK.

Cerca ed elimina, se presente il file in neretto:
c:\documents and settings\Davide\Dati applicazioni\bawuho.dat

Fatto ciò, con la funzione Cerca di windows verifica che il file bawuho.dat non sia più presente nel computer.

[plus81]

Ho eliminato il file bawuho.dat presente nella directory che mi hai indicato. Ho fatto la ricerca ed ho trovato un altro file bawuho.dat nella seguente directory C:\WINDOWS\system32\config\systemprofile\Dati applicazioni. Cosa devo fare? Devo eliminare anche questo?

[Luke57]

Ciao, sì. Un'ultima cosa, se da pannello di controllo>Installazioni/applicazioni trovi il programma Favorit, disistallalo.

[plus81]

Ho eliminato anche quest'altro file bawuho.dat e non ho trovato nessun programma Favorit. Posso considerare il mio PC sicuro ed avviarlo in modalità normale?

[Luke57]

Ciao, riavvia in mod.normale.

[FDAC]

Ciao Plus,
Al pc, ci colleghi Chiavette USB/HD Esterni?
Ti chiedo questo perchè hai un autorun infetto.
Fai così:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
http://www.microsoft.com/windowsxp/down ... rtoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

[plus81]

Ho riavviato in modalità normale. Sembrava che andasse tutto bene, poi all'improvviso si è ripresentato di nuovo il problema iniziale. Non mi fa cliccare sul pulsante start e nemmeno su altre icone della bara delle applicazioni. Se provo a lanciare qualche applicazione la cui icona è sul desktop dopo un pò si blocca tutto. Pensavo di avercela fatta ed invece sono di nuovo al punto di partenza.

[FDAC]

Ciao,
Prova a rieseguire nuovamente Combofix, con le direttive che ti avevano dato in precedenza.

[plus81]

Ho eseguito nuovamente COMBOFIX ed ho caricato il report su questo link: http://www.yourfilelink.com/get.php?fid=566806.

[MacGee]

E adesso il pc come va?

[plus81]

Il problema è sempre lo stesso, quando lancio in modalità normale si blocca e non mi fa fare nessuna operazione.

[Luke57]

Ciao, ma dov'è il report? Non l'ho trovato a quel link; combofix l'hai eseguito nuovamente in modalità provvisoria?