Ma il trojan c'e' o non c'e'?

[GFdS]

Buongiorno a tutti sono un nuovo utente: ho letto i vari titoli dei post ma non credo di aver visto niente che somigli al mio dubbio:
Ieri ho scaricato un file ed Avast ci trova da ridire e me lo mette in cella col marchio: NSIS downloader-Z
Oggi mi vengono dubbi e faccio scansioni con Spybot S&D, con Superantispyare, con Spyware terminator e con Malware Antimalware; bene nessuno trova da ridire su quel file. Riprovo con Avast e udite udite oggi trova di nuovo da ridire ma ha cambiato idea e me lo bolla con un Win32 Malware-gen.
Tenderei a pensare che Avast e' un po' suonato vista la situazione ma chiedo la vostra impressione.
Mi consigliate ancora un altro scanner oltre a quelli che non hanno trovato nulla?
Grazie assai assai,
Gianmaria

[shel]

ciao GFdS

facciamo un controllo piu' approfondito, vediamo cosa ne esce

disattiva il tuo antivirus

scarica combofix sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

come usare correttamente combofix

[GFdS]

Grazie per l'assistenza; ad una prima occhiata sembra non ci sia nulla, e nello specifico nel file in questione non c'e' alcun allarme; ecco qua il report:

ComboFix 10-09-11.04 - Gianmaria 12/09/2010 19.12.08.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3319.2550 [GMT 2:00]
Eseguito da: c:\documents and settings\Gianmaria\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Gianmaria\bxrsouht.exe
c:\documents and settings\Gianmaria\Documenti\DPE.DUS
c:\windows\system32\gmail.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT
-------\Service_RkHit


((((((((((((((((((((((((( Files Creati Da 2010-08-12 al 2010-09-12 )))))))))))))))))))))))))))))))))))
.

2010-09-12 15:00 . 2010-09-12 15:00 63488 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-09-12 15:00 . 2010-09-12 15:00 52224 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-09-12 15:00 . 2010-09-12 15:00 117760 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-09-12 14:58 . 2010-09-12 14:58 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\SUPERAntiSpyware.com
2010-09-12 14:58 . 2010-09-12 14:58 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2010-09-12 07:13 . 2010-09-12 17:09 33792 -c--a-w- c:\windows\system32\jcsball.dat
2010-09-12 07:13 . 2010-09-12 17:09 10543 -c--a-w- c:\windows\system32\jerror.dat
2010-09-10 12:16 . 2010-09-10 12:16 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\widestream
2010-09-10 12:16 . 2010-09-12 17:20 -------- dc----w- c:\documents and settings\Gianmaria\Impostazioni locali\Dati applicazioni\widestream6 Air
2010-09-10 12:15 . 2010-09-10 12:16 -------- dc----w- c:\programmi\Widestream6
2010-09-10 12:15 . 2010-09-10 12:15 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\OfferBox
2010-09-10 12:15 . 2010-09-10 12:15 -------- dc----w- c:\programmi\OfferBox
2010-09-08 10:52 . 2001-08-30 21:07 5632 -c--a-w- c:\windows\system32\ptpusb.dll
2010-09-08 10:52 . 2008-04-13 17:13 159232 -c--a-w- c:\windows\system32\ptpusd.dll
2010-09-03 17:41 . 2010-09-03 17:41 -------- dc----w- c:\programmi\iPod
2010-09-03 17:39 . 2010-09-03 17:40 -------- dc----w- c:\programmi\QuickTime
2010-09-03 17:36 . 2010-09-03 17:36 73000 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 10.0.0.68\SetupAdmin.exe
2010-08-29 11:53 . 2010-08-29 11:53 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\ArcSoft
2010-08-29 11:50 . 1995-07-31 11:44 212480 -c--a-w- c:\windows\PCDLIB32.DLL
2010-08-28 10:44 . 1999-07-22 10:23 36864 -c----w- c:\windows\Algouinstall.exe
2010-08-24 20:01 . 2010-08-24 20:02 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\vlc
2010-08-22 16:41 . 2010-08-22 16:41 -------- dc----w- c:\documents and settings\Gianmaria\Impostazioni locali\Dati applicazioni\Xara
2010-08-22 15:22 . 2010-08-22 15:22 -------- dc----w- c:\programmi\Lame for Audacity
2010-08-22 10:25 . 2010-08-22 10:26 -------- dc----w- c:\documents and settings\Gianmaria\.STM
2010-08-19 12:35 . 2010-08-19 12:35 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\System Image Utility
2010-08-19 12:35 . 2010-08-19 12:35 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\SupportPrinters
2010-08-19 12:35 . 2010-08-19 12:35 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\StatusSheet
2010-08-14 17:41 . 2010-08-14 17:41 -------- dc----w- c:\programmi\Apple Software Update
2010-08-14 15:13 . 2010-08-14 15:13 39196 -c-ha-w- c:\windows\system32\mlfcache.dat
2010-08-14 14:07 . 2010-08-14 14:07 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\WindSolutions
2010-08-14 14:01 . 2010-08-14 14:07 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\WindSolutions

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 17:36 . 2010-07-19 16:03 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox
2010-09-12 17:36 . 2010-07-09 20:21 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\uTorrent
2010-09-12 17:36 . 2010-04-21 12:58 17488 -c--a-w- c:\windows\gdrv.sys
2010-09-12 17:35 . 2010-04-23 17:37 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-09-12 17:29 . 2010-04-27 10:18 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\Skype
2010-09-12 17:09 . 2010-04-25 16:38 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Spyware Terminator
2010-09-12 14:33 . 2010-05-01 14:21 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLdw.DAT
2010-09-12 14:03 . 2010-04-27 10:19 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\skypePM
2010-09-12 12:55 . 2010-04-25 16:38 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\Spyware Terminator
2010-09-12 07:53 . 2010-05-02 16:58 518 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\iolo\Registry\Last\restore.bat
2010-09-12 07:13 . 2010-04-20 10:06 -------- dc--a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-09-11 18:56 . 2010-05-01 14:18 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLdu.DAT
2010-09-11 16:53 . 2010-05-02 20:25 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLbx.DAT
2010-09-10 20:33 . 2010-05-01 14:23 49152 -c--a-r- c:\documents and settings\Gianmaria\Dati applicazioni\Microsoft\Installer\{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}\ARPPRODUCTICON.exe
2010-09-10 15:08 . 2010-05-01 14:16 -------- dc----w- c:\programmi\File comuni\Nikon
2010-09-10 15:07 . 2010-09-10 15:07 0 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLdy.DAT
2010-09-10 15:07 . 2010-05-01 14:18 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Ultima_T15
2010-09-10 15:07 . 2010-05-01 14:18 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\EnterNHelp
2010-09-10 10:59 . 2010-08-19 12:35 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLet.DAT
2010-09-08 12:57 . 2010-04-21 19:45 1728 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\iolo\restore.bat
2010-09-07 15:12 . 2010-06-30 20:04 38848 -c--a-w- c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-04-21 08:44 167592 -c--a-w- c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-04-21 08:44 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-04-21 08:44 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-04-21 08:44 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-04-21 08:44 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-04-21 08:44 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-04-21 08:44 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-04-21 08:44 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-03 17:41 . 2010-07-09 22:37 -------- dc----w- c:\programmi\File comuni\Apple
2010-08-29 11:50 . 2010-04-20 05:40 -------- dc-h--w- c:\programmi\InstallShield Installation Information
2010-08-28 16:21 . 2010-04-20 16:52 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\AdobeUM
2010-08-27 06:01 . 2006-03-02 12:00 99014 ----a-w- c:\windows\system32\perfc010.dat
2010-08-27 06:01 . 2006-03-02 12:00 542736 ----a-w- c:\windows\system32\perfh010.dat
2010-08-19 12:37 . 2010-05-01 14:19 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Nikon
2010-08-19 12:36 . 2010-05-01 14:38 -------- dc----w- c:\programmi\Nikon
2010-08-19 12:35 . 2010-05-01 14:23 57344 -c--a-r- c:\documents and settings\Gianmaria\Dati applicazioni\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2010-08-19 12:35 . 2010-08-19 12:35 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLev.DAT
2010-08-19 12:35 . 2010-08-19 12:35 20 -c-h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLes.DAT
2010-08-14 15:04 . 2010-07-09 20:16 -------- dc----w- c:\programmi\Ask.com
2010-08-10 10:26 . 2010-08-10 10:26 237320 -c--a-w- c:\windows\system32\PDBoot.exe
2010-08-09 16:51 . 2010-04-25 13:49 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\UAB
2010-08-09 13:30 . 2010-08-09 13:30 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\Pantone
2010-08-09 12:41 . 2010-08-09 11:06 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\FileZilla
2010-08-08 11:00 . 2010-08-08 10:59 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\XnView
2010-07-31 13:42 . 2010-07-31 13:42 0 -c-ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_09_00.Wdf
2010-07-31 13:42 . 2010-07-31 13:42 0 -c-ha-w- c:\windows\system32\drivers\MsftWdf_user_01_09_00.Wdf
2010-07-31 13:41 . 2010-04-23 13:09 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\PC Suite
2010-07-19 20:58 . 2010-07-10 15:15 -------- dc----w- c:\documents and settings\Gianmaria\Dati applicazioni\foobar2000
2010-07-19 16:03 . 2010-07-19 16:03 89831 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\Uninstall.exe
2010-07-18 10:07 . 2010-07-18 10:07 -------- dc----w- c:\programmi\Microsoft CAPICOM 2.1.0.2
2010-07-15 06:15 . 2010-04-21 09:03 -------- dc----w- c:\programmi\File comuni\Symantec Shared
2010-07-15 06:14 . 2010-04-21 09:03 41 -c--a-w- c:\windows\WFXDEL.BAT
2010-07-06 13:16 . 2010-04-21 08:33 94384 -c--a-w- c:\windows\system32\IncContxMenu.dll
2010-07-06 13:16 . 2010-04-21 08:33 2319536 -c--a-w- c:\windows\system32\Incinerator.dll
2010-06-28 05:55 . 2010-06-28 05:55 95232 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-06-28 05:55 . 2010-06-28 05:55 8192 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-06-28 05:55 . 2010-06-28 05:55 61440 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-06-28 05:55 . 2010-06-28 05:55 10240 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-06-28 05:54 . 2010-06-28 05:55 36453152 -c--a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ita.exe
.

------- Sigcheck -------

[-] 2010-05-25 21:00 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2010-05-25 21:00 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2006-03-02 . 5B33B4265966EE063C7FBEA28958D9C2 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}]
2010-07-05 16:43 134816 -c--a-w- c:\programmi\Widestream6\spointer\extensions\widestream6_air_ie.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
2010-07-21 13:05 135000 -c--a-w- c:\programmi\OfferBox\OfferBoxBHO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 -c--a-w- c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="d:\ccleaner\ccleaner.exe" [2010-04-23 1668920]
"Grid"="c:\programmi\ATI Technologies\HydraVision\HydraGrd.exe" [2009-04-28 376832]
"HydraVisionDesktopManager"="c:\programmi\ATI Technologies\HydraVision\HydraDM.exe" [2009-04-28 380928]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"TomTomHOME.exe"="d:\tomtom\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-29 39408]
"Gadwin PrintScreen"="d:\printscreen\PrintScreen.exe" [2008-12-09 495616]
"uTorrent"="d:\torrent\uTorrent\uTorrent.exe" [2010-09-10 328568]
"SpybotSD TeaTimer"="d:\spybot - search & destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="d:\siperantispyware\SUPERAntiSpyware.exe" [2010-08-25 2424560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="d:\drivers caspar\ATI\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-09-25 106496]
"EvtMgr6"="d:\logitech\SetPointP\SetPoint.exe" [2010-01-27 1312848]
"avast5"="d:\avasta~1\avastUI.exe" [2010-06-28 2837864]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-14 43008]
"tray3"="c:\windows\system32\RecvMessage.exe" [2007-01-10 196608]
"tray1"="c:\windows\system32\gctray.exe" [2009-03-27 20480]
"NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"RTHDCPL"="RTHDCPL.EXE" [2010-03-17 19520544]
"SpywareTerminator"="d:\spyware terminator\SpywareTerminatorShield.exe" [2010-05-19 2176512]
"vspdfprsrv.exe"="d:\avanquest\ExpertPDF\vspdfprsrv.exe" [2006-05-04 998912]
"SystemGuardAlerter"="d:\system mechanic\SystemGuardAlerter.exe" [2010-07-06 522928]
"Nikon Message Center 2"="c:\programmi\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-08-10 421888]
"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2010-09-01 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-05-25 24064]

c:\documents and settings\Gianmaria\Menu Avvio\Programmi\Esecuzione automatica\
Dropbox.lnk - c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Acrobat Assistant.lnk - d:\acrobat6\Distillr\acrotray.exe [2003-5-15 217193]
Adobe Gamma Loader.exe.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2010-5-1 110592]
hueyPROTray.lnk - d:\hueypro\hueyPROTray.exe [2010-8-9 1081344]
What's my computer doing.lnk - d:\what's my computer doing\WhatsMyComputerDoing.exe [2010-5-19 271144]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= "d:\winfax\WfxSeh32.Dll" [1998-07-27 38400]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\siperantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- d:\siperantispyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17 64592 ----a-w- c:\programmi\File comuni\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *\0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\SocketWatch\\swatch.exe"=
"c:\\WINDOWS\\system32\\RecvMessage.exe"=
"c:\\WINDOWS\\system32\\gctray.exe"=
"d:\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programmi\\File comuni\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"d:\\TORRENT\\BitTorrent\\bittorrent.exe"=
"d:\\TORRENT\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Documents and Settings\\Gianmaria\\Dati applicazioni\\Dropbox\\bin\\Dropbox.exe"=
"d:\\ShareTheMusic\\app\\stm-agent.exe"=
"d:\\ITUNES\\iTunes.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Gruppi peer-to-peer Windows
"3540:UDP"= 3540:UDP:Peer Name Resolution Protocol (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [21/04/2010 17.17.29 189968]
R0 LaCieFWFilter;Silver 1394 Filter (1394 BUS Filter Driver);c:\windows\system32\drivers\LaCieFWFilter.sys [23/04/2010 17.06.25 14848]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [21/04/2010 10.44.46 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [21/04/2010 10.44.46 17744]
R3 acfva;acfva;c:\windows\system32\drivers\acfva.sys [23/04/2010 16.39.14 51168]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [26/04/2010 14.38.36 160288]
R3 LaCieUSBFilter;Silver USB Filter (USB BUS Filter Driver);c:\windows\system32\drivers\LaCieUSBFilter.sys [23/04/2010 17.06.25 15872]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [25/09/2009 16.57.36 56576]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [25/09/2009 16.57.40 138240]
R3 OXSDIDRV_x32;Oxford Semi eSATA Filter (x32);c:\windows\system32\drivers\OXSDIDRV_x32.sys [28/09/2009 9.55.38 52656]
S0 lcbtndev;LaCie button interface;c:\windows\system32\DRIVERS\lcbtndev.sys --> c:\windows\system32\DRIVERS\lcbtndev.sys [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [20/04/2010 16.31.14 1691480]
S3 cpuz133;cpuz133;\??\c:\docume~1\GIANMA~1\IMPOST~1\Temp\cpuz133\cpuz133_x32.sys --> c:\docume~1\GIANMA~1\IMPOST~1\Temp\cpuz133\cpuz133_x32.sys [?]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-10-18 13:25 451872 -c--a-w- c:\programmi\File comuni\LightScribe\LSRunOnce.exe
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-06-29 17:04]

2010-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-06-29 17:04]

2010-09-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.ati.com/online/cccwelcome/drivers.html
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: E&sporta in Microsoft Excel - d:\office~1\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Gianmaria\Dati applicazioni\Mozilla\Firefox\Profiles\ny42lgvp.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programmi\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - component: c:\programmi\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
FF - component: c:\programmi\Widestream6\spointer\extensions\widestream6@spointer.com\components\widestream6_air_ff.dll
FF - component: d:\firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\programmi\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: d:\acrobat6\Acrobat\browser\nppdf32.dll
FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\java\jre6\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Associazioni dei file -------
.
JSEFile=NOTEPAD.EXE %1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-Wdf01000.sys
SafeBoot-WudfPf
SafeBoot-WudfRd



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-12 19:36
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1448)
d:\siperantispyware\SASWINLO.DLL
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
c:\programmi\file comuni\logishrd\bluetooth\LBTWlgn.dll

- - - - - - - > 'explorer.exe'(4804)
c:\programmi\iolo\Common\Lib\sguard.dll
c:\programmi\ATI Technologies\HydraVision\HydraDMH.dll
c:\programmi\ATI Technologies\HydraVision\HydraGH.dll
c:\documents and settings\Gianmaria\Dati applicazioni\Dropbox\bin\DropboxExt.13.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programmi\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programmi\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programmi\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ita.nlr
c:\programmi\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
d:\avast antivirus\AvastSvc.exe
c:\windows\system32\wfxsnt40.exe
c:\windows\RTHDCPL.EXE
d:\drivers caspar\ATI\ATI.ACE\Core-Static\MOM.exe
c:\programmi\File comuni\LogiShrd\KHAL3\KHALMNPR.EXE
d:\drivers caspar\ATI\ATI.ACE\Core-Static\ccc.exe
c:\programmi\File comuni\Acronis\Schedule2\schedul2.exe
c:\programmi\File comuni\Acronis\CDP\afcdpsrv.exe
c:\programmi\AMD\RAIDXpert\jetty\extra\win32\Wrapper.exe
c:\programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\GIGABYTE\G.O.M\GCSVR.EXE
c:\programmi\Gigabyte\EasySaver\ESSVR.EXE
c:\programmi\AMD\RAIDXpert\_jvm\bin\java.exe
c:\programmi\iolo\common\lib\ioloServiceManager.exe
d:\system mechanic\IoloSGCtrl.exe
d:\java\jre6\bin\jqs.exe
c:\programmi\File comuni\LightScribe\LSSrvc.exe
d:\perfectdisc11\PDAgent.exe
c:\programmi\Realtek\Smart Dual Lan\SDLService.exe
d:\shadowprotect\ShadowProtectSvc.exe
d:\shadowprotect\ShadowProtectSvc.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\System32\snmp.exe
d:\spyware terminator\sp_rsser.exe
d:\tomtom\TomTom HOME 2\TomTomHOMEService.exe
c:\windows\System32\vssvc.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\vsnapvss.exe
c:\programmi\iPod\bin\iPodService.exe
c:\programmi\PC Connectivity Solution\ServiceLayer.exe
d:\perfectdisc11\PDEngine.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programmi\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Ora fine scansione: 2010-09-12 19:38:06 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-09-12 17:38

Pre-Run: 7.680.274.432 byte disponibili
Post-Run: 7.381.442.560 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 79C29D00DEEC53B86E8C18A4411E5C9D

[FDAC]

Combofix ha eliminato qualcosa.
Aspetta Riverside.
P.S. Ne approfitto per salutare River, che ho da poco iniziato a seguire nei "movimenti" su questo forum.

[shel]

scarica e installa CCleaner
http://www.ccleaner.com
Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)


Correzione errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI

usa anche ATF-Cleaner (Non richiede installazione):
-
http://www.atribune.org/ccount/click.php?id=1
Spunta la voce:
- Select all
Premi il tasto:
- Empty Select


collegati QUI ed esegui una scansione completa usando il browser I.E.

Posta il rapporto che rilascia

[GFdS]

Ho visto ma ha eliminato cose che nulla hanno a vedere col file che ho scaricato ieri; e' uno zip che contiene un programma e non l'ho ancora installato; solo avast ci trova qualcosa nell'eseguibile.
CCleaner lo uso da tempo e anche qui nessun problema; ora scarico ed eseguo ATF cleaner che non conoscevo.

Resto sintonizzato su questo canale :-) e ringrazio.

[shel]

solo avast ci trova qualcosa nell'eseguibile.

quando finisci la scansione, vai sul sito di virus total e analizza l'eseguibile sospetto

[GFdS]

ora scarico ed eseguo ATF cleaner che non conoscevo.

Fatto:
Report: "No file were removed"
meglio di cosi'... :-)

Virus total accetta file fino a 20 Mb; questo e' 45... sto tentando ma mi aspetto un messaggio di errore.

[Riverside]

Ieri ho scaricato un file

Che file e da dove lo hai scaricato?

Tenderei a pensare che Avast e' un po' suonato ......

A volte può accadere che gli antivirus segnalino dei falsi positivi .... a naso, nel tuo caso, dubito che sia cosi.

[GFdS]

Ieri ho scaricato un file

Che file e da dove lo hai scaricato?

Un programma foto Nikon Capture NX2 da Torrent

Tenderei a pensare che Avast e' un po' suonato ......

A volte può accadere che gli antivirus segnalino dei falsi positivi .... a naso, nel tuo caso, dubito che sia cosi.

Anche io sono pieno di dubbi, sopratutto perche' solo Avast lo rileva; devo concludere che tutti gli altri spyware che ho usato sono poco efficaci?

[Luke57]

Ciao, prova se è possibile verificare quel file anche qui:
http://www.geekissimo.com/2009/10/06/vi ... us-online/

[GFdS]

Ciao, prova se è possibile verificare quel file anche qui:
....

Lo sto provando; leggo che usa i database di un gran numero di antivirus tra cui anche Avast il che porterebbe a pensare che gira gira se avast gli da lo stesso positivo che da a me ne risultera' che il dubbio rimarrebbe. Ci sono vicino? :-)

[shel]

Lo sto provando; leggo che usa i database di un gran numero di antivirus tra cui anche Avast il che porterebbe a pensare che gira gira se avast gli da lo stesso positivo che da a me ne risultera' che il dubbio rimarrebbe. Ci sono vicino? :-)

se tra gli antivirus in quel sito avast e' il solo a rilevarlo come infezione credo che puoi stare tranquillo

[GFdS]

Da giorni il sito viruschief e' inutilizzabile; gia' all'apertura della pagina iniziale vi e' un messaggio di "non capacita' e di riprovare piu' tardi". Qualcuno sa cosa succede?

[Riverside]

Fallo analizzare su Virustotal e posta qui il link a report che verrà rilasciato.

[GFdS]

Fallo analizzare su Virustotal e posta qui il link a report che verrà rilasciato.

L'ho gia' provato come da suggerimento di shel ma purtroppo il mio file supera i 20 Mb ammessi per la scansione.

[Riverside]

Dai ... vediamo un pò come è messo quel computer.

Scarica ed installa Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Per allegare tutti i log che ti chiederò, utilizza, sempre, questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

[GFdS]

Dai ... vediamo un pò come è messo quel computer.

Scarica ed installa Hijackthis: clicca qui per il download

Il computer in se' e' messo bene, cominciai ad occuparmi della sua sicurezza gia' nel 1988 (ho 66 anni) acquistando uno dei primissimi antivirus in dos. Hijackthis lo uso gia' da tempo. In ogni caso questa sera faro' quanto suggerisci.

[GFdS]

Dai ... vediamo un pò come è messo quel computer.
Scarica ed installa Hijackthis
● al termine della scansione verrà rilasciato un log: [b]salvalo sul Desktop perché lo dovrai allegare

Sul desktop? Oibo' e perche' sul desktop e non nella sua posizione originale? Quella di salvataggi sul desktop forse rende le ricerche piu' veloci ma non mi e' mai piaciuta troppo. Preciso che io uso C:/ solo per il s.o., i programmi in D:/ e file in F:/ e cosi' via

Per allegare tutti i log che ti chiederò, utilizza, sempre, questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

Ecco qua il file richiesto; ancora grazie per la collaborazione.
3hijackthis.log

[Riverside]

Il computer in se' e' messo bene

E una questione di punti di vista (soprattutto quando i programmi di sicurezza (ed in generale) non sono installati dove dovrebbero essere installati in C: in D: (la partizione D: di norma è utilizzata per salvare i dati, non per installare programmi.

cominciai ad occuparmi della sua sicurezza gia' nel 1988 (ho 66 anni) acquistando uno dei primissimi antivirus in dos.

I tempi cambiano, il caro vecchio DOS è quasi morto ed anche il tuo computer non sta tanto bene.
Ora è evidente che non intendo stravolgere la logica che hai sempre seguito ma, il mio sugggerimento è quello di installare almeno l'antivirus (tra l'altro decisamente scadente) e i software di sicurezza (antispyware ed antimalware) in C:
Fammi sapere come intendi proseguire.