che sia un virus? (.Trash-500)

[estersandro]

Compare solo nelle penne usb che collego al PC, una cartella dal nome ".Trash-500".
L' antivirus non rileva nulla ma io sono sospettoso.
Qualcuno ha indicazioni in merito? Grazie

[shel]

scarica http://www.trendsecure.com/portal/en-US ... kthis.php#

lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"

Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup

Posta il log che ti rilascia

[estersandro]

grazie. ecco il file :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.36.48, on 08/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Opera\opera.exe
C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
C:\Programmi\Trend Micro\Internet Security\TmPfw.exe
C:\Programmi\Trend Micro\BM\TMBMSRV.exe
C:\dvd\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [delmsbb] C:\WINDOWS\delmsbb.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {04365000-DFC6-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Quercia) - https://ib.rolbank.com/ib2000/TlqJ2kQrc.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {13083D70-37BD-11D4-B315-00508B6D3B87} (/Quercia TLQJ 2000-QF24) - https://ib.rolbank.com/ib2000/TlqJ2kQF.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2A5C1DD0-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Other) - https://ib.rolbank.com/ib2000/TlqJ2kOth.cab
O16 - DPF: {5140EE10-DFC4-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Image) - https://ib.rolbank.com/ib2000/de/TlqJ2kImg.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6092484033
O16 - DPF: {B1738950-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-QCbi) - https://ib.rolbank.com/ib2000/TlqJ2kQCb.cab
O16 - DPF: {CB572CC0-E5F9-11D3-B2C1-00105AE309D0} (/Quercia TLQJ 2000-QData) - https://ib.rolbank.com/ib2000/TlqJ2kQDt.cab
O16 - DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} (/Quercia TLQJ 2001-Raiffeisen) - https://ib.rolbank.com/ib2000/TlqJ2kR.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFC50D2-75B1-4CCF-B175-A17C3E5FA7FF}: NameServer = 151.99.0.100,151.99.125.1
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Componente Central Control Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programmi\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmProxy.exe

--
End of file - 6961 bytes

[shel]

ciao

dal log riesco a vedere questo elemento poco affidabile

C:\WINDOWS\delmsbb.exe

carica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Disconnetiti da internet
Disattiva l'antivirus.
Avvia il file ComboFix.exe
Digita 1 per avviare il tool
Segui le istruzioni (non fare nulla durante la scansione, se spariscono le icone dal desktop è normale) e alla fine verrà generato un log.
Finito, posta il log che trovi in C:\Combofix.txt

[estersandro]

Ho fatto come hai detto. Ma non posso postare il log; non viene accettato perchè troppo grande

[shel]

allegalo e caricalo qui >>>>> www.wikisend.com

[estersandro]

http://wikisend.com/download/461320/ComboFix.txt

speriamo di aver fatto giusto.
E molte grazie

[shel]

ciao

eri pieno di infezioni

esegui queste operazioni


scarica CCleaner
http://www.ccleaner.com
Importante:
In fase d’installazione levare la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)


Esegui una scansione supplementare con malwarebytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

per ora non rimuovere nulla

[estersandro]

ecco il log:

Malwarebytes' Anti-Malware 1.41
Versione del database: 2931
Windows 5.1.2600 Service Pack 3

09/10/2009 21.20.37
mbam-log-2009-10-09 (21-20-02).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|G:\|)
Elementi scansionati: 165100
Tempo trascorso: 37 minute(s), 53 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

[shel]

ciao

elimina quello che malwarebytes ti ha trovato

inserisci la pendrive nel pc tenendo premuto il tasto SHIFT - rilascialo dopo qualche secondo e fai una nuova scansione con combofix

[estersandro]

fatto. Ecco il report:


((((((((((((((((((((((((( Files Creati Da 2009-09-10 al 2009-10-10 )))))))))))))))))))))))))))))))))))
.

2009-10-09 18:39 . 2009-10-09 18:39 -------- d-----w- c:\documents and settings\Frasnelli Alessandra\Dati applicazioni\Malwarebytes
2009-10-09 18:39 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-09 18:39 . 2009-10-09 18:39 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-10-09 18:39 . 2009-10-09 18:39 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-10-09 18:39 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-09 18:34 . 2009-10-09 18:34 -------- d-----w- c:\programmi\CCleaner
2009-10-07 19:18 . 2009-10-07 19:18 -------- d-----w- c:\programmi\Avery
2009-10-07 19:15 . 2009-10-07 19:16 9886192 ----a-w- C:\averywizard_3_1_it.exe
2009-10-05 16:28 . 2009-10-05 16:28 -------- d-----w- c:\programmi\Paper Label Maker
2009-10-05 16:27 . 2009-10-05 16:28 4288178 ----a-w- C:\paperlabelmaker.zip
2009-09-15 18:38 . 2009-09-15 18:38 -------- d-----w- c:\windows\system32\it
2009-09-15 18:38 . 2009-09-15 18:38 -------- d-----w- c:\windows\l2schemas
2009-09-14 16:12 . 2009-09-14 16:12 -------- d-----w- c:\documents and settings\Frasnelli Alessandra\Dati applicazioni\Canon
2009-09-14 15:02 . 2009-09-14 15:02 -------- d-----w- c:\documents and settings\Frasnelli Alessandra\Dati applicazioni\VoipStunt
2009-09-14 14:57 . 2009-09-14 14:57 -------- d-----w- c:\documents and settings\Frasnelli Alessandra\Impostazioni locali\Dati applicazioni\Opera
2009-09-14 14:56 . 2009-09-14 14:56 -------- d-----w- c:\programmi\Opera

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 18:53 . 1979-12-31 22:00 381428 ----a-w- c:\windows\system32\perfh010.dat
2009-09-15 18:53 . 1979-12-31 22:00 64812 ----a-w- c:\windows\system32\perfc010.dat
2009-09-11 18:01 . 2003-10-09 20:09 85376 ----a-w- c:\documents and settings\Frasnelli Alessandra\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-09-09 13:19 . 2009-09-09 13:19 -------- d-----w- c:\programmi\Valpas
2009-09-07 16:08 . 2009-09-07 14:54 10752 ----a-w- c:\windows\DCEBoot.exe
2009-09-07 14:20 . 2009-09-07 14:10 20058 ----a-w- c:\documents and settings\Frasnelli Alessandra\Impostazioni locali\Dati applicazioni\JunkAtx.bin
2009-09-02 17:35 . 2009-09-02 17:35 -------- d-----w- c:\documents and settings\Frasnelli Alessandra\Dati applicazioni\OpenOffice.org
2009-09-02 17:32 . 2009-09-02 17:32 -------- d-----w- c:\programmi\JRE
2009-09-02 17:32 . 2009-09-02 17:32 -------- d-----w- c:\programmi\OpenOffice.org 3
2009-08-05 08:59 . 2004-03-24 11:55 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 1979-12-31 22:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 1979-12-31 22:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-25 03:23 . 2009-03-26 16:05 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:01 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-10-01 09:50 286208 ------w- c:\windows\system32\wmpdxm.dll
2008-04-14 02:13 . 1979-12-31 22:00 1384479 --sh--r- c:\windows\system32\msvbvm60.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"delmsbb"="c:\windows\delmsbb.exe" [2003-01-06 327680]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-26 68856]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2005-06-11 98304]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2008-10-17 185872]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"DSLAGENTEXE"="dslagent.exe" - c:\windows\system32\dslagent.exe [2001-08-21 16384]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-05-14 55296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Frasnelli Alessandra\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.1.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0PFDNNT c:\programmi\MyWay\myBar\1.bin\0PFDNNT c:\programmi\MyWay\myBar\1.bin\0PFDNNT c:\programmi\MyWay\myBar\0PFDNNT c:\programmi\MYWAY\MYBAR\1.BIN\MYBAR.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Frasnelli Alessandra^Menu Avvio^Programmi^Esecuzione automatica^UltimateZip Quick Start.lnk]
backup=c:\windows\pss\UltimateZip Quick Start.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PROGRA~1\\A-TIME~1\\TIMESYNC.EXE"=
"c:\\WINDOWS\\System32\\FXSCLNT.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19126:TCP"= 19126:TCP:GoogleReference schemasPages
"61906:UDP"= 61906:UDP:GoogleReference MediaDownloaded
"56121:TCP"= 56121:TCP:GoogleReference MailVideo
"10517:UDP"= 10517:UDP:GoogleReference en64

R3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\drivers\RTL8180.sys [28/08/2003 12.07.32 173184]
S2 gafwload;IPM Datacom USB ADSL Loader;c:\windows\system32\drivers\gafwload.sys [25/09/2004 8.01.24 26985]
S3 CMIUSB;Motic New MC Camera;c:\windows\system32\drivers\MC1001200130012001B\cmiusb.sys [14/01/2008 8.48.35 10373]
S3 DisplayLinkGA;DisplayLinkGA;c:\windows\system32\DRIVERS\DisplayLinkGAport.sys --> c:\windows\system32\DRIVERS\DisplayLinkGAport.sys [?]
S3 DisplayLinkmirror;DisplayLinkmirror;c:\windows\system32\DRIVERS\DisplayLinkmirrorport.sys --> c:\windows\system32\DRIVERS\DisplayLinkmirrorport.sys [?]
S3 DisplayLinkUsbPort;DisplayLink USB Device;c:\windows\system32\DRIVERS\DisplayLinkUsbPort.sys --> c:\windows\system32\DRIVERS\DisplayLinkUsbPort.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wuauSystem
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
TCP: {BFFC50D2-75B1-4CCF-B175-A17C3E5FA7FF} = 151.99.0.100,151.99.125.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {04365000-DFC6-11D3-B2BB-00105AE309D0} - hxxps://ib.rolbank.com/ib2000/TlqJ2kQrc.cab
DPF: {13083D70-37BD-11D4-B315-00508B6D3B87} - hxxps://ib.rolbank.com/ib2000/TlqJ2kQF.cab
DPF: {2A5C1DD0-DFC5-11D3-B2BB-00105AE309D0} - hxxps://ib.rolbank.com/ib2000/TlqJ2kOth.cab
DPF: {5140EE10-DFC4-11D3-B2BB-00105AE309D0} - hxxps://ib.rolbank.com/ib2000/de/TlqJ2kImg.cab
DPF: {B1738950-DFC5-11D3-B2BB-00105AE309D0} - hxxps://ib.rolbank.com/ib2000/TlqJ2kQCb.cab
DPF: {CB572CC0-E5F9-11D3-B2C1-00105AE309D0} - hxxps://ib.rolbank.com/ib2000/TlqJ2kQDt.cab
DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} - hxxps://ib.rolbank.com/ib2000/TlqJ2kR.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-10 14:43
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(2600)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2009-10-10 14.44.37
ComboFix-quarantined-files.txt 2009-10-10 12:44
ComboFix2.txt 2009-10-09 04:33
ComboFix3.txt 2009-09-07 18:32
ComboFix4.txt 2009-06-22 13:12

Pre-Run: 7.105.069.056 byte disponibili
Post-Run: 7.079.002.112 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

144 --- E O F --- 2009-09-15 18:47

[shel]

ciao

sembri pulito - riscontri ancora problemi?

[estersandro]

Nessun problema.
E' interessanto notare come l' antivirus (a pagamento) non avesse notato
niente di sospetto.
Ti ringrazio molto della consulenza!

[shel]

ciao

c'e' ancora un file da controllare, mi era sfuggito

c:\windows\DCEBoot.exe

analizzalo qui>>>>>> http://www.virustotal.com/it/

[estersandro]

pare che ci sia un trojan dentro
http://www.virustotal.com/it/analisis/9 ... 1255090870

lo elimino?

[Luke57]

Ciao, solo un antivirus , e nemmeno uno tra i più validi, ha riconosciuto un malware. Rinominalo cambiando la sua estensione in DCEBoot.old, lo lasci così per qualche giorno in modo da controllare se trattasi di un file la cui mancanza può causare problemi.

[estersandro]

lo chiami "malaware". Ma il trojan non è un virus?

[Luke57]

Ciao, ci sono delle sfumature tra i vari termini, comunque i principali antivirus non lo hanno identificato come file infetto

[estersandro]

Dopo aver trovato ancora il file .Trash-500 in ben due memorie flash, mi è venuto un lampo di illuminazione;
sono file "cestino" che genero quando cancello qualcosa mentre lavoro sulle penne usb in ambiente linux.
Quando poi porto le stesse penne usb in un altro PC che gira con XP, ecco che si vedono questi files...basta cancellarli