Virus UKASH

[mibe]

Come qualcun altro utente anche io mi sono beccato il virus UKASH Guardia di Finanza che ti chiede di pagare 100,00 euro ...
Ieri sera ero riuscito cliccando più volte ctrl alt canc ad entrare nel pc. Questa mattina no; infatti sto scrivendo dal portatile. Da questa mattina appariva la schermata della Guardia di Finanza che chiedeva i 100,00 euro ...
Riuscite ad aiutarmi?

[FrancescoFDAC]

Avvia il sistema in modalità provvisoria, facendo riferimento ai link sottostanti:
● modalità provvisoria in Windows XP: http://support.microsoft.com/kb/316434/it#3
● modalità provvisoria in Windows Vista e Seven: http://windowshelp.microsoft.com/Window ... 11040.mspx

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● una volta avviato clicca il pulsante Accetto: conferma cliccando Ok due volte
● segui le istruzioni che verranno rilasciate per eseguire la scansione:
"Tipicamente non impiega più di 10 minuti
Su pc molto infetti il tempo di scansione può raddoppiare facilmente"
● nel caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare (clicca il pulsante No)
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato dopo l'utilizzo del programma stesso.
Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, dovrai avviarla manualmente dalle Risorse del computer.

[mibe]

Ciao Francesco e grazie (anche agli altri) di darmi nuovamente una mano.
Dunque: antivirus disattivato.
Il Firewall invece (probabilmente perchè sono in modalità provvisoria), quando sono in "Centro sicurezza pc" e poi clicco su Windows Firewall in "Gestione impostazioni di protezione per:" mi esce il seguente messaggio: "Impossibile visualizzare le impostazioni di Windows Firewall. Il relativo servizio non è avviato. Avviare il servizio Windows Firewall/Condivisione connessione Internet (ICS)?" Questo (non è avviato) vuol dire che è disattivato, o no?

[Luke57]

Ciao, prova a eseguire la scansione con combofix indipendentemente dal messaggio del firewall.

[mibe]

Sto scrivendo dal portatile.
Poichè non riuscivo con F8 a accedere alla modalità provvisoria (c'ho provato alcune volte senza successo) ci sono entrato con questa procedura http://www.megalab.it/2556/3/come-avvia ... rovvisoria che però, presumo, sia la modalità provvisoria senza accesso a internet perchè non riesco a visualizzare la pagina web dove scaricare Combofix.
Se è vero quello che ho detto, come faccio ad attivare la possibilità di connettermi ad internet?

[Luke57]

Ciao, scarica combofix con il portatile allora; lo copi sul desktop del computer da un dispositivo usb e avvii la scansione.

[mibe]

Sto facendo fare la scansione con Combofix.
Un dubbio. Non avendo la connessione attiva sul pc fisso dovrò nuovamente inviare il report finale alla chiavetta usb e poi al pc portatile (da cui scrivo) per metterlo infine su questo post. Ma, così facendo, non rischio di portare il virus dalla chiavetta con il report al pc portatile. E' sufficiente una scansione con l'antivirus Microsoft Security Essentials prima di aprire la chiavetta usb?

[FrancescoFDAC]

Ciao, si puoi scansionarla con MSE, ma puoi anche tenere premuto il tasto Shift appena inserita la chiavetta nel PC; in tal modo eviti l'avvio automatico e la propagazione delle infezioni probabilmente attive nella chiavetta stessa.

Attendiamo il log.

[mibe]

Eccolo:


ComboFix 12-04-31.02 - Mio 01/05/2012 9.22.55.4.1 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1747 [GMT 2:00]
Eseguito da: c:\documents and settings\Mio\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programmi\Complitly
c:\programmi\Complitly\chrome\ComplitlyChrome.crx
c:\programmi\Complitly\FireFoxExtension.exe
c:\programmi\Complitly\InstTracker.exe
c:\programmi\Complitly\support@Complitly.com\chrome.manifest
c:\programmi\Complitly\support@Complitly.com\chrome\content\appIcon.png
c:\programmi\Complitly\support@Complitly.com\chrome\content\browserOverlay.xul
c:\programmi\Complitly\support@Complitly.com\chrome\content\options.js
c:\programmi\Complitly\support@Complitly.com\chrome\content\options.xul
c:\programmi\Complitly\support@Complitly.com\chrome\content\utils.js
c:\programmi\Complitly\support@Complitly.com\defaults\preferences\predictad.js
c:\programmi\Complitly\support@Complitly.com\install.rdf
c:\programmi\Complitly\unins000.dat
c:\programmi\Complitly\unins000.exe
c:\windows\EventSystem.log
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-01 al 2012-05-01 )))))))))))))))))))))))))))))))))))
.
.
2012-05-01 07:00 . 2012-05-01 07:00 56200 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{160F1231-15CD-4343-8F93-0AAF46379742}\offreg.dll
2012-04-28 22:28 . 2012-04-12 22:36 6734704 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{160F1231-15CD-4343-8F93-0AAF46379742}\mpengine.dll
2012-04-28 22:04 . 2012-04-28 22:04 -------- d-----w- c:\documents and settings\Mio\Dati applicazioni\gapbscmcgyqh
2012-04-14 18:18 . 2012-04-14 18:19 -------- d-----w- c:\programmi\FastStone Photo Resizer
2012-04-07 09:28 . 2012-04-07 09:28 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-12 22:36 . 2012-03-19 21:02 6734704 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-03-17 13:04 . 2012-03-17 13:04 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-05 22:59 . 2011-12-24 12:17 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"MSC"="c:\programmi\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"37535"="c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msuakc.cmd" [2009-08-06 75264]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Mio\\Desktop\\utorrent.exe"=
.
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 Installer Service;Installer Service;c:\documents and settings\All Users\Dati applicazioni\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}\Installer\InstallerService.exe [11/03/2012 21.51.53 125952]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-04-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-04-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-01 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
2012-04-29 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
AddRemove-{4FFBB818-B13C-11E0-931D-B2664824019B}_is1 - c:\programmi\Complitly\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-01 09:30
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2012-05-01 09:33:12
ComboFix-quarantined-files.txt 2012-05-01 07:32
.
Pre-Run: 52.779.352.064 byte disponibili
Post-Run: 53.178.093.568 byte disponibili
.
- - End Of File - - 8D6E1DC1F31FEB78D57CA76A454E5B94

[FrancescoFDAC]

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Codice: Seleziona tutto

File::
c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msuakc.cmd

Folder::
c:\documents and settings\Mio\Dati applicazioni\gapbscmcgyqh

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"37535"=-


● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.



Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi
N.B :
● se viene visualizzato l'errore: Operazione non valida tentata su una chiave di registro che è stato contrassegnato per l'eliminazione, dovrai semplicemente riavviare il sistema e ripetere lo Script

Poi, hai installato sia Avira che Microsoft Security Essentials?

[Taffazzi]

Ciao,
anch'io ho preso Ukash, da una pagina web insospettabile. Mi era già successo 2 volte, un paio di mesi fa, da altri siti (sempre di musica e/o testi) e ho la conferma che Avira non lo blocca. L'avevo rimosso con ComboFix e ci ho provato anche stavolta, seguendo le tue istruzioni (non ricordavo più i dettagli). Purtroppo però ricompare regolarmente, un minuto dopo il riavvio del pc. Ho seguito la procedura due volte, ma non se ne va. Non capisco come mai e sono molto perplesso, l'unica anomalia è che, prima di partire, ComboFix segnalava allarmato che era ancora attivo il virus scanner di Avira, anche se a me risultava disattivato. (Tra l'altro, in modalità provvisoria l'icona sulla tray di Avira non mi appariva e ho faticato un po' a disattivarlo, ma poi appariva di nuovo l'ombrellino chiuso e quindi, nonostante il messaggio, l'ho lanciato e sembrava funzionare regolarmente). Hai qualche suggerimento?
Grazie mille, ciao

[Luke57]

@Tafazzi
Ciao, allega il report della scansione fatta con combofix.

[mibe]

1. come dicevo più sopra l'antivirus Microsoft l'ho disattivato
2. non riesco a capire se il Firewall sia disattivato oppure no (per le ragioni che spiegavo più sopra)
3. Avira l'ho rimosso da tempo (utilizzo l'antivirus di Microsoft) ma probabilmente qualcosa è rimasto da qualche parte nel pc. Più che eliminare le icone e andare in installazione applicazioni e scegliere rimuovi programma (Avira) appunto cos'altro si dovrebbe fare per eliminarlo completamente (se qualcos'altro si deve fare)?

Detto ciò posso procedere oppure per queste cose che ho detto riguardo ad Avira e il Firewall richiedono delle altre azioni/operazioni da parte mia?

[Taffazzi]

Grazie per la tempestività!
Io ci metto un po' perchè non sto scrivendo dal pc infetto, ma da un vecchio catorcio che ho collegato alla rete.
Ho provato a copiare il testo di Combofix.txt, perchè non so come allegare.
Però non mi lascia, appare la scritta "Questo account non ha ancora il permesso di inviare link nei post. Per poter fare ciò è necessario aver inviato almeno 3 post e essere iscritti da almeno 0 giorni."
Come devo fare?
Grazie

[Taffazzi]

Forse mandando un altro post...

[Taffazzi]

ComboFix 12-04-31.03 - Chicco 01/05/2012 5.49.38.4.4 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3573.3291 [GMT 2:00]
Eseguito da: c:\documents and settings\Chicco\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {0013F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Disabled/Outdated* {7698207D-3DB8-003E-AC1D-9876381E9876}
AV: AntiVir Desktop *Enabled/Outdated* {0012F2B4-5C49-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-01 al 2012-05-01 )))))))))))))))))))))))))))))))))))
.
.
2012-05-01 03:00 . 2012-05-01 03:00 -------- d-----w- c:\documents and settings\Chicco\Dati applicazioni\drppedjjtvgfl
2012-04-27 18:47 . 2012-04-27 18:47 -------- d-----w- c:\programmi\File comuni\Java
2012-04-27 18:04 . 2012-04-27 18:04 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-27 18:04 . 2012-04-27 18:04 476960 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-04-27 18:03 . 2012-04-27 18:03 -------- d-----w- c:\programmi\Java
2012-04-26 09:37 . 2012-04-26 09:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Samsung
2012-04-16 12:09 . 2012-04-16 12:30 -------- d-----w- C:\Ex disco C
2012-04-08 19:27 . 2012-04-08 19:27 -------- d-----w- c:\programmi\A-FF Find and Mount
2012-04-08 19:22 . 2012-04-14 13:11 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-27 18:04 . 2011-12-09 17:23 472864 ----a-w- c:\windows\system32\deployJava1.dll
2012-04-14 13:11 . 2011-12-20 20:21 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-01 11:00 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:10 . 2006-03-02 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2006-03-02 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2006-03-02 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-26 11:05 . 2011-12-01 20:43 121816 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-01_03.34.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-03-02 12:00 . 2012-05-01 03:11 80696 c:\windows\system32\perfc010.dat
+ 2006-03-02 12:00 . 2012-05-01 03:49 80696 c:\windows\system32\perfc010.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 68584 c:\windows\system32\perfc009.dat
+ 2006-03-02 12:00 . 2012-05-01 03:49 68584 c:\windows\system32\perfc009.dat
+ 2006-03-02 12:00 . 2012-05-01 03:49 482092 c:\windows\system32\perfh010.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 482092 c:\windows\system32\perfh010.dat
+ 2006-03-02 12:00 . 2012-05-01 03:49 435688 c:\windows\system32\perfh009.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 435688 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-05-20 36864]
"IAStorIcon"="c:\programmi\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-14 614400]
"4623 Scan2PC"="c:\windows\Twain_32\Samsung\SCX4623\Scan2pc.exe" [2009-09-10 1968640]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="c:\programmi\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"RTHDCPL"="RTHDCPL.EXE" [2010-09-07 19573352]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"39691"="c:\docume~1\ALLUSE~1\LOCALS~1\Temp\mssoucweh.exe" [2009-08-06 88064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-05-16 08:27 153136 ----a-w- c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ----a-w- c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\ScanMgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\SCX4623\\Scan2Pc.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\SCX4623\\Sscan2io.exe"=
"c:\\Programmi\\ASUS\\AI Suite II\\AI Suite II.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\UltraVNC\\vncviewer.exe"=
"c:\\Programmi\\FIFA 12\\Game\\fifa.exe"=
.
R0 ndasfs;ndasfs;c:\windows\system32\drivers\ndasfs.sys [13/01/2010 10.12.36 562152]
R1 ndasfat;NDAS FAT File System Service;c:\windows\system32\drivers\ndasfat.sys [13/01/2010 10.12.36 461288]
R1 ndasrofs;NDAS ROFS File System Service;c:\windows\system32\drivers\ndasrofs.sys [13/01/2010 10.12.28 791528]
R3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\drivers\asmthub3.sys [20/04/2011 22.55.10 95720]
R3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\drivers\asmtxhci.sys [20/04/2011 22.55.11 292840]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28/12/2011 14.41.34 691696]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [06/05/2011 18.49.52 11832]
S2 asComSvc;ASUS Com Service;c:\programmi\ASUS\AXSP\1.00.13\atkexComSvc.exe [06/05/2011 18.47.15 918144]
S2 asHmComSvc;ASUS HM Com Service;c:\programmi\ASUS\AAHM\1.00.13\aaHMSvc.exe [06/05/2011 18.47.18 915584]
S2 AsSysCtrlService;ASUS System Control Service;c:\programmi\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe [06/05/2011 18.49.30 586880]
S2 gupdate;Servizio Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [23/12/2011 16.17.09 136176]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\programmi\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [20/04/2011 22.48.07 13336]
S2 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\w32x86\3\NetFaxServer.exe [11/05/2011 19.16.07 162304]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [08/04/2012 21.22.59 253088]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26/01/2012 0.29.55 1691480]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [23/12/2011 16.17.09 136176]
S3 PROCEXP151;PROCEXP151;\??\c:\windows\system32\Drivers\PROCEXP151.SYS --> c:\windows\system32\Drivers\PROCEXP151.SYS [?]
S3 SliceDisk5;SliceDisk5;c:\programmi\A-FF Find and Mount\slicedisk.sys [08/04/2012 21.27.57 26192]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-05-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-08 13:11]
.
2012-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-12-23 14:17]
.
2012-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-12-23 14:17]
.
.
------- Scansione supplementare -------
.
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{843BFDA4-C344-4C55-B685-A37DC954B3B4}: NameServer = 88.149.128.12,88.149.128.22
FF - ProfilePath - c:\documents and settings\Chicco\Dati applicazioni\Mozilla\Firefox\Profiles\5j5g6jes.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-01 05:54
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2012-05-01 05:55:35
ComboFix-quarantined-files.txt 2012-05-01 03:55
ComboFix2.txt 2012-05-01 03:35
ComboFix3.txt 2011-12-23 00:34
.
Pre-Run: 247.229.079.552 byte disponibili
Post-Run: 247.215.767.552 byte disponibili
.
- - End Of File - - 6DA862B3DA55670B8AE764DFFF10B316

[mibe]

Si, forse anche secondo me è meglio se apri un altro post.

Certo non è una bella notizia sentire che non sei riuscito ad eliminarlo ...

[Luke57]

@Tafazzi
Ciao, Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe in neretto:

Folder::
c:\documents and settings\Chicco\Dati applicazioni\drppedjjtvgfl

File::
c:\docume~1\ALLUSE~1\LOCALS~1\Temp\mssoucweh.exe

Registry::
HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"39691"=-

chiama questo file CFScript.txt e posizionalo sul Desktop.
Ttrascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix

ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un nuovo Report. Copia ed incolla il log nel tuo prossimo post.

Segui, per qualsiasi problema relativo alla procedura, le istruzioni dettagliate del post di FDAC rivolto a Mibe.

[Taffazzi]

Grazie Luke57,
l'ho fatto in modalità provvisoria, ovviamente, immagino che non faccia differenza.

ComboFix 12-04-31.03 - Chicco 01/05/2012 17.42.23.5.4 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3573.3281 [GMT 2:00]
Eseguito da: c:\documents and settings\Chicco\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Chicco\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {0013F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Disabled/Outdated* {7698207D-3DB8-003E-AC1D-9876381E9876}
AV: AntiVir Desktop *Enabled/Outdated* {0012F2B4-5C49-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
FILE ::
"c:\docume~1\ALLUSE~1\LOCALS~1\Temp\mssoucweh.exe"
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\docume~1\ALLUSE~1\LOCALS~1\Temp\mssoucweh.exe
c:\documents and settings\Chicco\Dati applicazioni\drppedjjtvgfl
c:\documents and settings\Chicco\Dati applicazioni\drppedjjtvgfl\hzgzstr.bmp
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-01 al 2012-05-01 )))))))))))))))))))))))))))))))))))
.
.
2012-04-27 18:47 . 2012-04-27 18:47 -------- d-----w- c:\programmi\File comuni\Java
2012-04-27 18:04 . 2012-04-27 18:04 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-27 18:04 . 2012-04-27 18:04 476960 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-04-27 18:03 . 2012-04-27 18:03 -------- d-----w- c:\programmi\Java
2012-04-26 09:37 . 2012-04-26 09:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Samsung
2012-04-16 12:09 . 2012-04-16 12:30 -------- d-----w- C:\Ex disco C
2012-04-08 19:27 . 2012-04-08 19:27 -------- d-----w- c:\programmi\A-FF Find and Mount
2012-04-08 19:22 . 2012-04-14 13:11 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-27 18:04 . 2011-12-09 17:23 472864 ----a-w- c:\windows\system32\deployJava1.dll
2012-04-14 13:11 . 2011-12-20 20:21 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-01 11:00 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:10 . 2006-03-02 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2006-03-02 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2006-03-02 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-26 11:05 . 2011-12-01 20:43 121816 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-01_03.34.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-03-02 12:00 . 2012-05-01 03:11 80696 c:\windows\system32\perfc010.dat
+ 2006-03-02 12:00 . 2012-05-01 15:38 80696 c:\windows\system32\perfc010.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 68584 c:\windows\system32\perfc009.dat
+ 2006-03-02 12:00 . 2012-05-01 15:38 68584 c:\windows\system32\perfc009.dat
+ 2006-03-02 12:00 . 2012-05-01 15:38 482092 c:\windows\system32\perfh010.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 482092 c:\windows\system32\perfh010.dat
+ 2006-03-02 12:00 . 2012-05-01 15:38 435688 c:\windows\system32\perfh009.dat
- 2006-03-02 12:00 . 2012-05-01 03:11 435688 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-05-20 36864]
"IAStorIcon"="c:\programmi\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-14 614400]
"4623 Scan2PC"="c:\windows\Twain_32\Samsung\SCX4623\Scan2pc.exe" [2009-09-10 1968640]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="c:\programmi\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"RTHDCPL"="RTHDCPL.EXE" [2010-09-07 19573352]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-05-16 08:27 153136 ----a-w- c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ----a-w- c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\ScanMgr.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\SCX4623\\Scan2Pc.exe"=
"c:\\WINDOWS\\twain_32\\Samsung\\SCX4623\\Sscan2io.exe"=
"c:\\Programmi\\ASUS\\AI Suite II\\AI Suite II.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\UltraVNC\\vncviewer.exe"=
"c:\\Programmi\\FIFA 12\\Game\\fifa.exe"=
.
R0 ndasfs;ndasfs;c:\windows\system32\drivers\ndasfs.sys [13/01/2010 10.12.36 562152]
R1 ndasfat;NDAS FAT File System Service;c:\windows\system32\drivers\ndasfat.sys [13/01/2010 10.12.36 461288]
R1 ndasrofs;NDAS ROFS File System Service;c:\windows\system32\drivers\ndasrofs.sys [13/01/2010 10.12.28 791528]
R3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\drivers\asmthub3.sys [20/04/2011 22.55.10 95720]
R3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\drivers\asmtxhci.sys [20/04/2011 22.55.11 292840]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28/12/2011 14.41.34 691696]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [06/05/2011 18.49.52 11832]
S2 asComSvc;ASUS Com Service;c:\programmi\ASUS\AXSP\1.00.13\atkexComSvc.exe [06/05/2011 18.47.15 918144]
S2 asHmComSvc;ASUS HM Com Service;c:\programmi\ASUS\AAHM\1.00.13\aaHMSvc.exe [06/05/2011 18.47.18 915584]
S2 AsSysCtrlService;ASUS System Control Service;c:\programmi\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe [06/05/2011 18.49.30 586880]
S2 gupdate;Servizio Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [23/12/2011 16.17.09 136176]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\programmi\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [20/04/2011 22.48.07 13336]
S2 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\w32x86\3\NetFaxServer.exe [11/05/2011 19.16.07 162304]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [08/04/2012 21.22.59 253088]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26/01/2012 0.29.55 1691480]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [23/12/2011 16.17.09 136176]
S3 PROCEXP151;PROCEXP151;\??\c:\windows\system32\Drivers\PROCEXP151.SYS --> c:\windows\system32\Drivers\PROCEXP151.SYS [?]
S3 SliceDisk5;SliceDisk5;c:\programmi\A-FF Find and Mount\slicedisk.sys [08/04/2012 21.27.57 26192]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-05-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-08 13:11]
.
2012-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-12-23 14:17]
.
2012-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-12-23 14:17]
.
.
------- Scansione supplementare -------
.
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{843BFDA4-C344-4C55-B685-A37DC954B3B4}: NameServer = 88.149.128.12,88.149.128.22
FF - ProfilePath - c:\documents and settings\Chicco\Dati applicazioni\Mozilla\Firefox\Profiles\5j5g6jes.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKLM-Explorer_Run-39691 - c:\docume~1\ALLUSE~1\LOCALS~1\Temp\mssoucweh.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-01 17:47
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2012-05-01 17:47:55
ComboFix-quarantined-files.txt 2012-05-01 15:47
ComboFix2.txt 2012-05-01 03:55
ComboFix3.txt 2012-05-01 03:35
ComboFix4.txt 2011-12-23 00:34
.
Pre-Run: 247.541.153.792 byte disponibili
Post-Run: 247.527.649.280 byte disponibili
.
- - End Of File - - 264B5B2615D48003982D597651AC2459

[mibe]

Scusa Luke. Considerato quello da me scritto poco fa nei 3 punti, posso procedere?