Condividi:        

Rapporto HiJackThis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 10:20

Ciao a tutti. Da un po ho il pc lentissimo e con una serie di processi aperti in taskmanager che non mi convincono. Come antivirus ho trend micro internet security sempre aggiornato.
Vi posto il rapporto di HiJackThis sperando che qualcuno mi possa suggerire qualcosa! grazie!! :)

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10.19.18, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\BM\TMBMSRV.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Programmi\Trend Micro\Internet Security\TmPfw.exe
C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\Safari\Safari.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.alice.it/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programmi\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [OE] C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmi\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=64&bd=pavilion&pf=laptop
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://212.162.68.213/rainet02/Rawflow.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - http://it.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tamtamletsgo.spaces.live.com//Ph ... nPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/i ... ection.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s ... DEXAXO.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDow ... rtScan.cab
O16 - DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - http://www.cartografia.regione.lombardi ... ns/ncs.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tamtamletsgo.spaces.live.com/Pho ... nPUpld.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Betway/FlashAX.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://betway.microgaming.com/betway/FlashAX2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A877F8-E978-4C96-877F-EA094740DB3A}: NameServer = 151.99.125.1,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Componente Central Control Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programmi\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 13100 bytes
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Sponsor
 

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 10:47

ciao


hai installato un programma della MacroVision’s? per il resto il log e' a posto

prova a fare un po' di pulizia

Installa Ccleaner
http://www.filehippo.com/download_ccleaner/

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp diwindows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

scarica Atfcleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATFCleaner.exe con un doppio click

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)


Scarica ComboFix da qui http://download.bleepingcomputer.com/sUBs/ComboFix.exe , avvialo e quindi premi 1 per avviare la scansione. Alla fine della scansione ti verrà rilasciato un file chiamato combofix.txt nella cartella c:\combofix, allegami tale file nel prossimo messaggio.
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 13:05

ciao ho fatto le operazioni che mi hai consigliato e ti ringrazio. Ma con combofix ho dei problemi, mi resta la scheramata azzurra e non succede niente e quando lo chiudo mi dice che il programma non risponde.
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 15:07

shel ha scritto:Scarica ComboFix da qui http://download.bleepingcomputer.com/sUBs/ComboFix.exe , avvialo e quindi premi 1 per avviare la scansione. Alla fine della scansione ti verrà rilasciato un file chiamato combofix.txt nella cartella c:\combofix, allegami tale file nel prossimo messaggio.



ciao ci sono riuscito a fare la scansione con combofix!!! ho dovuto disattivare l'antivirus perchè mi creava problemi!! ecco il rapporto finale, dimmi cosa ne pensi!

ComboFix 10-01-04.01 - Gabriele 06/01/2010 13.06.20.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2046.1384 [GMT 1:00]
Eseguito da: c:\documents and settings\Gabriele\Desktop\ComboFix.exe
AV: Trend Micro Internet Security *On-access scanning disabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
FW: Personal Firewall di Trend Micro *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe
E:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-12-06 al 2010-01-06 )))))))))))))))))))))))))))))))))))
.

2010-01-06 11:09 . 2010-01-06 11:09 -------- d-----w- c:\programmi\CCleaner
2010-01-06 00:00 . 2010-01-06 00:00 388096 ----a-r- c:\documents and settings\Gabriele\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-06 00:00 . 2010-01-06 00:00 -------- d-----w- c:\programmi\TrendMicro
2010-01-05 19:12 . 2010-01-05 19:12 -------- d-----w- c:\documents and settings\Gabriele\Impostazioni locali\Dati applicazioni\Nokia
2010-01-05 19:12 . 2010-01-05 19:49 -------- d-----w- c:\windows\Globalization
2010-01-05 19:12 . 2010-01-05 19:12 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NokiaMusic
2010-01-04 15:26 . 2010-01-04 15:26 -------- d-----w- c:\programmi\File comuni\PCSuite
2010-01-04 15:24 . 2008-08-26 08:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-01-04 15:24 . 2010-01-04 15:24 -------- d-----w- c:\programmi\PC Connectivity Solution
2010-01-04 15:23 . 2009-10-06 10:52 7936 ----a-w- c:\windows\system32\drivers\usbser_lowerfltj.sys
2010-01-04 15:23 . 2009-10-06 10:52 7936 ----a-w- c:\windows\system32\drivers\usbser_lowerflt.sys
2010-01-04 15:23 . 2009-10-06 10:52 22016 ----a-w- c:\windows\system32\drivers\ccdcmbo.sys
2010-01-04 15:23 . 2009-10-06 10:55 1112288 ----a-w- c:\windows\system32\wdfcoinstaller01007.dll
2010-01-04 15:23 . 2009-10-06 10:52 660480 ----a-w- c:\windows\system32\nmwcdcocls.dll
2010-01-04 15:23 . 2009-10-06 10:52 17664 ----a-w- c:\windows\system32\drivers\ccdcmb.sys
2010-01-04 15:20 . 2010-01-04 15:19 34541248 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ita.exe
2010-01-04 15:20 . 2010-01-04 15:20 95232 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-01-04 15:20 . 2010-01-04 15:20 8192 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe
2010-01-04 15:20 . 2010-01-04 15:20 61440 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-01-04 15:20 . 2010-01-04 15:20 10240 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCS.exe
2010-01-03 17:11 . 2010-01-03 17:11 92128 ---ha-w- c:\windows\system32\mlfcache.dat
2010-01-03 16:14 . 2010-01-03 16:14 -------- d-----w- c:\programmi\iPod
2010-01-03 16:14 . 2010-01-03 16:15 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-01-03 16:14 . 2010-01-03 16:15 -------- d-----w- c:\programmi\iTunes
2010-01-03 16:09 . 2010-01-03 16:10 -------- d-----w- c:\programmi\QuickTime
2010-01-03 15:56 . 2010-01-03 15:56 79144 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2010-01-03 15:53 . 2010-01-03 15:53 -------- d-----w- c:\programmi\Safari
2010-01-03 15:50 . 2010-01-03 15:50 79144 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2010-01-01 18:30 . 2010-01-01 18:30 -------- d-----w- c:\documents and settings\Gabriele\Impostazioni locali\Dati applicazioni\Temp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-05 19:50 . 2008-06-16 17:35 -------- d-----w- c:\programmi\File comuni\Nokia
2010-01-05 19:50 . 2008-04-28 11:50 -------- d-----w- c:\programmi\Nokia
2010-01-05 19:49 . 2006-06-29 09:22 89264 ----a-w- c:\windows\system32\perfc010.dat
2010-01-05 19:49 . 2006-06-29 09:22 504970 ----a-w- c:\windows\system32\perfh010.dat
2010-01-05 19:20 . 2006-10-27 01:45 131840 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-01-05 19:20 . 2008-04-28 11:52 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Nokia
2010-01-04 15:34 . 2010-01-04 15:34 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-01-04 15:34 . 2010-01-04 15:34 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-01-04 15:25 . 2008-04-28 11:50 -------- d-----w- c:\programmi\DIFX
2010-01-04 15:20 . 2008-04-28 11:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Installations
2010-01-04 15:04 . 2006-12-27 17:04 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Apple Computer
2010-01-04 13:55 . 2006-10-27 10:39 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-01-04 11:34 . 2009-10-23 18:15 -------- d-----w- c:\programmi\Alice MOBILE E1692
2010-01-04 11:31 . 2008-10-20 18:30 -------- d-----w- c:\programmi\Bonjour
2010-01-04 11:26 . 2006-10-27 10:39 -------- d-----w- c:\programmi\Sonic
2010-01-04 11:25 . 2006-10-27 10:39 -------- d-----w- c:\programmi\File comuni\InstallShield
2010-01-03 16:14 . 2008-10-20 18:27 -------- d-----w- c:\programmi\File comuni\Apple
2009-11-30 20:21 . 2006-12-27 18:17 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Skype
2009-11-25 10:00 . 2008-12-22 19:34 -------- d-----w- c:\documents and settings\Gabriele\Application Data\uTorrent
2009-11-20 17:03 . 2008-07-14 09:06 -------- d-----w- c:\documents and settings\Gabriele\Application Data\Microgaming
2009-11-10 21:03 . 2009-04-14 18:35 -------- d-----w- c:\programmi\Docfa305
2009-11-10 19:10 . 2009-11-10 19:10 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\TomTom
2009-11-10 18:53 . 2009-11-10 18:53 -------- d-----w- c:\documents and settings\Gabriele\Application Data\TomTom
2009-11-10 18:53 . 2009-11-10 18:53 -------- d-----w- c:\programmi\TomTom International B.V
2009-11-10 18:52 . 2009-11-10 18:52 -------- d-----w- c:\programmi\TomTom HOME 2
2009-10-29 07:42 . 2006-04-11 04:00 832512 ----a-w- c:\windows\system32\wininet.dll
2009-10-29 07:42 . 2006-04-11 04:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:42 . 2006-04-11 04:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2006-04-11 04:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-04-11 04:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-04-11 04:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2006-04-11 04:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-04-11 04:00 150016 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 13:38 . 2006-04-11 04:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-05-15 16:42 . 2007-02-28 16:41 21 ----a-w- c:\programmi\PanaHDS.ini
2004-03-11 12:27 . 2006-12-29 10:03 40960 ----a-w- c:\programmi\Uninstall_CDS.exe
2006-12-21 16:00 . 2006-12-21 16:00 22 --sha-w- c:\windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"WMPNSCFG"="c:\programmi\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NokiaMServer"="c:\programmi\File comuni\Nokia\MPlatform\NokiaMServer" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-18 64512]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-27 7585792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-27 86016]
"nwiz"="nwiz.exe" [2006-09-27 1617920]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 61952]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]
"QPService"="c:\programmi\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"HP Software Update"="c:\programmi\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"DAEMON Tools-1033"="c:\programmi\D-Tools\daemon.exe" [2004-08-22 81920]
"UfSeAgnt.exe"="c:\programmi\Trend Micro\Internet Security\UfSeAgnt.exe" [2009-10-21 995528]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-09-01 149280]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2009-11-12 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Graphisoft\\ArchiCAD 11\\ArchiCAD.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [19/01/2007 15.46.48 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [19/01/2007 15.46.48 5248]
R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [22/02/2009 18.27.17 36368]
R2 TomTomHOMEService;TomTomHOMEService;c:\programmi\TomTom HOME 2\TomTomHOMEService.exe [27/08/2009 16.05.04 92008]
R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [06/06/2006 21.39.56 61952]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [08/10/2008 12.43.06 335376]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [22/02/2009 18.24.17 50192]
S2 TmPfw;Trend Micro Personal Firewall;c:\programmi\Trend Micro\Internet Security\TmPfw.exe [22/02/2009 18.24.48 497008]
S2 TmProxy;Trend Micro Proxy Service;c:\programmi\Trend Micro\Internet Security\TmProxy.exe [22/02/2009 18.24.54 677128]
S3 DCamUSBSTK02N;Standard Camera;c:\windows\system32\DRIVERS\STK02NW2.sys --> c:\windows\system32\DRIVERS\STK02NW2.sys [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys --> c:\windows\system32\DRIVERS\ewusbfake.sys [?]
S3 MODBDA2;DiBcom MOD3000 TV receiver;c:\windows\system32\drivers\modbda2.sys [13/06/2006 2.53.28 33024]
.
Contenuto della cartella 'Scheduled Tasks'

2009-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-01-05 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 15:04]

2010-01-06 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 15:04]

2007-05-01 c:\windows\Tasks\Servizi Internet.job
- c:\programmi\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 10:23]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/index.html
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
TCP: {D7A877F8-E978-4C96-877F-EA094740DB3A} = 151.99.125.1,151.99.0.100
DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://it.pixaco.de/static/download/pixacodndupload.cab
DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - hxxp://www.cartografia.regione.lombardi ... ns/ncs.cab
FF - ProfilePath - c:\documents and settings\Gabriele\Application Data\Mozilla\Firefox\Profiles\nclnqcs5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/result ... EF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - igoogle.it
FF - component: c:\programmi\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-Polar Sync - (no file)
HKU-Default-Run-Nokia.PCSync - c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 13:17
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????L?@??????_??????`?@?????L?@
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebf28
\Driver\ACPI -> ACPI.sys @ 0xf7338cb8
\Driver\atapi -> 0x89bdb298
\Driver\iaStor -> iaStor.sys @ 0xf722a984
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2010-01-06 13:20:39
ComboFix-quarantined-files.txt 2010-01-06 12:20

Pre-Run: 9.967.439.872 byte disponibili
Post-Run: 9.935.216.640 byte disponibili

- - End Of File - - 2FC056EB1AB624FDCA72D8ED735C1C77



24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 15:10

Scarica MBR:EXE direttamente nella Directory C:\
http://www2.gmer.net/mbr/mbr.exe

vai in modalita' provvisoria

Da Start - Esegui - digita C:\mbr.exe e clicca su OK
La scansione dura pochi secondi.
Posta il log che troverai in C:\ come mbr.log

elimina il file di testo generato dopo averlo postato
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 15:54

shel ha scritto:Scarica MBR:EXE direttamente nella Directory C:\
http://www2.gmer.net/mbr/mbr.exe

vai in modalita' provvisoria

Da Start - Esegui - digita C:\mbr.exe e clicca su OK
La scansione dura pochi secondi.
Posta il log che troverai in C:\ come mbr.log

elimina il file di testo generato dopo averlo postato


Ciao ho fatto come dici ed esce questo... cosa faccio?
Immagine
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 15:58

ma lo hai fatto dalla consolle di ripristino.....

controlla anche il fle mbr.log in C:\
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 17:10

shel ha scritto:ma lo hai fatto dalla consolle di ripristino.....

controlla anche il fle mbr.log in C:\


In che senso lo hai fatto dalla consolle di ripristino? io l'ho fatto in modalità provvisoria ccome mi avevi detto. Ora ho controllato il file mbr.log in c.. c'è scritto questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x0BA50E41 !
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 17:16

sempre da provvisoria

start => esegui => digita: c:\mbr.exe -f
NOTA: c:\mbr.exe[spazio]-f
posta il rapporto, lo trovi in c:\
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 17:34

shel ha scritto:sempre da provvisoria

start => esegui => digita: c:\mbr.exe -f
NOTA: c:\mbr.exe[spazio]-f
posta il rapporto, lo trovi in c:\


ok l'ho fatto..nel file di testo mbr in c c'è scritto queste poche righe:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x0BA50E41 !
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 17:37

niente, l'infezione e' ancora li'

Scarica Norman SinowalMBR Cleaner

http://download.norman.no/public/Norman ... leaner.exe

Avvia il pc in modalità provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe

Clicca su Accept >>> poi su start scan

Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 19:31

shel ha scritto:niente, l'infezione e' ancora li'

Scarica Norman SinowalMBR Cleaner

http://download.norman.no/public/Norman ... leaner.exe

Avvia il pc in modalità provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe

Clicca su Accept >>> poi su start scan

Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log


Ecco fatta la scansione con Norman SinowalMBR cleaner. Ci ha messo un bel po ma alla fine ci è riuscito. Questo è il file generato sul desktop a fine scansione:

Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode with network) Service Pack 3
Logged on user: PORTATILE\Gabriele

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "00 00 00 00 20 25 2A 00 " -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

Scan started: 06/01/2010 17:57:11

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 219ms


Scanning running processes and process memory...

Number of processes/threads found: 1238
Number of processes/threads scanned: 1238
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 13s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*

Scanning: E:\*.*


Running post-scan cleanup routine:

Number of files found: 293923
Number of archives unpacked: 7551
Number of files scanned: 293891
Number of files not scanned: 32
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 1h 20m 54s



24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 20:09

non ha trovato niente, o almeno non e' riuscito a togliere l'infezione dal' MBR

prima di continuare esegui questo passaggio

disattiva il ripristino e lascialo disattivato fino alla soluzione del problema


Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla questa riga nella box bianca che si è aperta:

files to delete:
c:\windows\system32\mlfcache.dat



Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.




scarica drweb cureit ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Doppio click su cureit.exe e clicca sull'opzione "Avvia" ti chiederà se vuoi effettuare un controllo rapido rispondi SI(Ok)
Finita la scansione, metti il puntino nella casella "completa scansione" clicca sul tasto "Play" per far partire la scansione, se trova qualcosa di infetto hai la possibilità di rimuoverlo subito oppure a fine scansione, finita la scansione fai rimuovere gli elementi infetti, salva il report di fine scansione clicca su File>Salva lista report, poi posta il report che hai salvato
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 20:36

shel ha scritto:non ha trovato niente, o almeno non e' riuscito a togliere l'infezione dal' MBR

prima di continuare esegui questo passaggio

disattiva il ripristino e lascialo disattivato fino alla soluzione del problema


Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla questa riga nella box bianca che si è aperta:

files to delete:
c:\windows\system32\mlfcache.dat



Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.




scarica drweb cureit ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Doppio click su cureit.exe e clicca sull'opzione "Avvia" ti chiederà se vuoi effettuare un controllo rapido rispondi SI(Ok)
Finita la scansione, metti il puntino nella casella "completa scansione" clicca sul tasto "Play" per far partire la scansione, se trova qualcosa di infetto hai la possibilità di rimuoverlo subito oppure a fine scansione, finita la scansione fai rimuovere gli elementi infetti, salva il report di fine scansione clicca su File>Salva lista report, poi posta il report che hai salvato


ok lo faccio ma non mi è chiara una cosa: cosa significa disattiva il ripristino e lascialo disattivato fino alla soluzione del problema?
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 06/01/10 20:56

tenuto conto che hai un'infezione nel MBR sarebbe opportuno disattivarlo

http://www.megalab.it/2330/come-disatti ... di-sistema
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 22:56

shel ha scritto:Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.




scarica drweb cureit ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Doppio click su cureit.exe e clicca sull'opzione "Avvia" ti chiederà se vuoi effettuare un controllo rapido rispondi SI(Ok)
Finita la scansione, metti il puntino nella casella "completa scansione" clicca sul tasto "Play" per far partire la scansione, se trova qualcosa di infetto hai la possibilità di rimuoverlo subito oppure a fine scansione, finita la scansione fai rimuovere gli elementi infetti, salva il report di fine scansione clicca su File>Salva lista report, poi posta il report che hai salvato


Ti posto i rapporti: Questo è quello di avenger: Tra poco appena finisce ti posto anche quello di drweb

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\windows\system32\mlfcache.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi 24gabry03 » 06/01/10 23:04

Scusa una domanda ma queste due scansioni con avenger e drweb le devo fare in modalità provvisoria oppure va bene comunque con windows avviato normalmente? Io lo sto facendo nella modalità normale! sto sbagliando?
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi 24gabry03 » 07/01/10 17:33

24gabry03 ha scritto:
shel ha scritto:non ha trovato niente, o almeno non e' riuscito a togliere l'infezione dal' MBR

prima di continuare esegui questo passaggio

disattiva il ripristino e lascialo disattivato fino alla soluzione del problema


Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla questa riga nella box bianca che si è aperta:

files to delete:
c:\windows\system32\mlfcache.dat



Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.




scarica drweb cureit ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Doppio click su cureit.exe e clicca sull'opzione "Avvia" ti chiederà se vuoi effettuare un controllo rapido rispondi SI(Ok)
Finita la scansione, metti il puntino nella casella "completa scansione" clicca sul tasto "Play" per far partire la scansione, se trova qualcosa di infetto hai la possibilità di rimuoverlo subito oppure a fine scansione, finita la scansione fai rimuovere gli elementi infetti, salva il report di fine scansione clicca su File>Salva lista report, poi posta il report che hai salvato


ok lo faccio ma non mi è chiara una cosa: cosa significa disattiva il ripristino e lascialo disattivato fino alla soluzione del problema?


E questo è il report di drweb

ComboFix.exe\32788R22FWJFW\List-C.bat C:\Documents and Settings\Gabriele\Desktop\ComboFix.exe Probabile BATCH.Virus
ComboFix.exe C:\Documents and Settings\Gabriele\Desktop l'Archivio contiene oggetti infetti
main.js C:\Programmi\Messenger Plus! Live\Scripts\Now Playing Probabile SCRIPT.Virus
JSCRIPT5.CHM\htm/jstextwriteln.htm C:\Programmi\Microsoft Office\OFFICE11\1040\JSCRIPT5.CHM Modifica di VBS.Generic.94
JSCRIPT5.CHM C:\Programmi\Microsoft Office\OFFICE11\1040 Il Container contiene oggetti infetti
6B.tmp C:\Programmi\Trend Micro\Internet Security\Quarantine Probabile Trojan.Packed.Based
brandit.exe C:\SWSetup\BrandIt\Disk1 Probabile STPAGE.Trojan
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Re: Rapporto HiJackThis

Postdi shel » 07/01/10 17:55

vai in C:\ ed elimina tutti i file di testo come mbr.log

riesegui il passaggio di prima

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

posta il log
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Rapporto HiJackThis

Postdi 24gabry03 » 07/01/10 19:23

shel ha scritto:vai in C:\ ed elimina tutti i file di testo come mbr.log

riesegui il passaggio di prima

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

posta il log


L'ho fatto in modalità normale, ecco cosa mi dice il rapporto: (lo devo fare in provvisoria?)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
malicious code @ sector 0xba50e41 size 0x1c1 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
24gabry03
Utente Junior
 
Post: 41
Iscritto il: 25/02/09 17:42

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Rapporto HiJackThis":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 4
Pc lento e Hijackthis
Autore: Flopez
Forum: Assistenza Hardware
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 91 ospiti