ancora virus help

[eleivga]

e rieccomi a chiedere il vs. prezioso consiglio.
Allora il tutto è iniziato con la toolbar di searsafer e chatzum, che ovviamente non ho installato, e che non sono riuscita ad eliminare. Poi il pc non mi ha più permesso di utilizzare Mozilla Firefox, dicendo che dovevo aspettare che altre icone fossero chiuse (anche se non ce n'erano). Ho fatto scansione (veloce) con Malwarebytes che ha rilevato 2 Trojan che ho quindi eliminato.
Ho poi fatto scasione con Hijackthis e questo è il log: hijackthis.log.
Se per favore potete aiutarmi a capire e risolvere ve ne sono grata

[eleivga]

ah volevo aggiungere che sto scrivendo dal pc incriminato, però sono entrata nel Vs. forum tramite Internet Explorer. Ho provato anche ad eliminare e reinstallare Firefox ma niente (spero di non avere perso tutti i "preferiti")

[shel]

ciao prova a fare una scansione con adwcleaner una volta aperto clicca su delete per rimuovere le varie toolbar e posta il log


fixa anche queste righe che ti cambiano la home page

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.chatzum.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.chatzum.com/

[eleivga]

Ciao Shel!

ecco fatto come hai detto; il log [url=http://wikisend.com/download/106394/AdwCleaner[S1].txt]AdwCleaner[S1].txt[/url]

Scusa ma non ho capito come fare per "fixa anche queste righe che ti cambiano la home page"

[shel]

per fixare le voci
apri hjt esegui la scansione poi metti la spunta accanto alle caselle che ti ho indicato e clicchi su fix checked

Scarica e installa malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
Rimuovi tutto cio' che trova

[eleivga]

ok fatto; sembra non aver trovato niente, ecco il log:
mbam-log-2012-09-27 (06-16-10).txt

Mozilla Firefox non me lo fa ancora aprire...
Che pensi ?

[shel]

penso che dovresti rimuoverlo e reinstallarlo potrebbe essersi corrotto qualche file

fai questa scansione

Scarica OTL e salvalo sul desktop
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.

A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt)

postali nel forum

[eleivga]

ecco tutto:
OTL.Txt
Extras.Txt

[eleivga]

aggiungo anche che mi si apre la finestra di errore avgnt.exe, che mi era apparsa già diversi mesi fa e che ero riuscita a togliere con i consigli di Franc (ma stavolta no....)

[shel]

se non erro hai anche l'UKRASH a bordo e un'infezione da rootkit zero access

questo controllalo su virustotal > C:\WINDOWS\System32\dmwu.exe

apri otl e copia questo

Codice: Seleziona tutto

:OTL
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\DOCUME~1\Elena\IMPOST~1\Temp\catchme.sys File not found
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.chatzum.com/?q={searchTerms}
[2012/09/25 15.04.05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Elena\Dati applicazioni\Pyil
[2012/09/25 15.04.05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Elena\Dati applicazioni\Iwaxsy
[2012/09/25 15.04.05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Elena\Dati applicazioni\Heew
[2012/08/26 21.44.30 | 083,023,306 | ---- | M] () -- C:\Documents and Settings\All Users\Dati applicazioni\0tbpw.pad
[2012/08/26 10.57.52 | 083,023,306 | ---- | C] () -- C:\Documents and Settings\All Users\Dati applicazioni\0tbpw.pad
[2012/02/22 17.11.22 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012/02/22 17.11.22 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012/02/22 17.11.22 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012/02/22 17.11.22 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012/02/22 17.11.22 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012/09/25 20.51.41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Heew
[2012/09/25 19.22.35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Iwaxsy
[2010/12/13 23.19.34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Iwlacy
[2012/09/25 15.04.05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Pyil
[2010/12/12 19.12.20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Sudeq
[2010/12/15 09.09.42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Uwaxy
[2011/12/03 20.07.32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Elena\Dati applicazioni\Vuegk

:Files
ipconfig /flushdns /c

:commands
[purity]
[Reboot]

clicca su run fix e posta il log

carica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses/so ... =208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Per eliminare le infezioni trovate, si deve necessariamente riavviare il pc.
Posta il log che trovi in C:\

quando avrai terminato ti daro' un'altra procedura per cercare di curare quelle chiavi infettate dal rootkit

[eleivga]

ciao Shel, scusa sono stata via per il week end; ecco il log di Tdss TDSSKiller.2.8.10.0_30.09.2012_21.03.58_log.txt
ecco l'altro OTL.Txt
Spero di avere fatto tutto bene.. ma l'unica cosa che non ho fatto perchè non ho capito è:
questo controllalo su virustotal > C:\WINDOWS\System32\dmwu.exe

Attendo tue "dritte"

[shel]

il log di otl non e' quello delle eliminazioni, hai sbagliato a postarlo

ora Scarica e installa malwarebytes Aggiornalo e fai una scansione completa del computer ed elimina tutto cio' che rileva Posta il rapporto ottenuto.

[eleivga]

ho rifatto con Otl spero ora sia giusto:
10012012_200901.log
ecco malware:
mbam-log-2012-10-01 (20-19-40).txt
Sembra non avere trovato niente però volevo dirti che durante la scansione ha fatto un "bip" lo stesso suono che emette Avira quando segnalo un virus.. boh.
Ti ricordo anche che non ho fatto riguardo alla tua segnalazione su virustotal > C:\WINDOWS\System32\dmwu.exe.
Come andiamo ?

[eleivga]

Shel oggi ho acceso il pc e dopo poco ho sentito di nuovo un bip, senza vedere alcuna finestra; allora ho lanciato Avira che mi ha rilevato un virus... ecco il log (ho dovuto fare copia e incolla perchè wikisend mi dava errore
Avira AntiVir Personal
Data del file di report: martedì 2 ottobre 2012 15:36

Ricerca di 4301321 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-ELENA

Informazioni sulla versione:
BUILD.DAT : 10.2.0.103 36070 Bytes 25/01/2012 14:04:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:24:39
AVSCAN.DLL : 10.0.5.0 55144 Bytes 21/07/2011 11:26:15
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:25:43
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:24:39
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:24:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:56:40
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 21:15:40
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 08:22:03
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 17:20:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 05:42:54
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 05:38:36
VBASE007.VDF : 7.11.41.251 2048 Bytes 06/09/2012 05:38:37
VBASE008.VDF : 7.11.41.252 2048 Bytes 06/09/2012 05:38:37
VBASE009.VDF : 7.11.41.253 2048 Bytes 06/09/2012 05:38:37
VBASE010.VDF : 7.11.41.254 2048 Bytes 06/09/2012 05:38:37
VBASE011.VDF : 7.11.41.255 2048 Bytes 06/09/2012 05:38:37
VBASE012.VDF : 7.11.42.0 2048 Bytes 06/09/2012 05:38:37
VBASE013.VDF : 7.11.42.1 2048 Bytes 06/09/2012 05:38:37
VBASE014.VDF : 7.11.42.65 203264 Bytes 09/09/2012 16:39:24
VBASE015.VDF : 7.11.42.125 156672 Bytes 11/09/2012 13:11:27
VBASE016.VDF : 7.11.42.171 187904 Bytes 12/09/2012 16:20:38
VBASE017.VDF : 7.11.42.235 141312 Bytes 13/09/2012 16:20:38
VBASE018.VDF : 7.11.43.35 133632 Bytes 15/09/2012 12:04:37
VBASE019.VDF : 7.11.43.89 129024 Bytes 18/09/2012 12:04:38
VBASE020.VDF : 7.11.43.141 130560 Bytes 19/09/2012 12:04:39
VBASE021.VDF : 7.11.43.187 121856 Bytes 21/09/2012 12:04:40
VBASE022.VDF : 7.11.43.251 147456 Bytes 24/09/2012 12:45:45
VBASE023.VDF : 7.11.44.43 152064 Bytes 25/09/2012 18:39:59
VBASE024.VDF : 7.11.44.103 165888 Bytes 27/09/2012 18:40:00
VBASE025.VDF : 7.11.44.167 160256 Bytes 30/09/2012 18:40:01
VBASE026.VDF : 7.11.44.223 199680 Bytes 02/10/2012 13:32:54
VBASE027.VDF : 7.11.44.224 2048 Bytes 02/10/2012 13:32:55
VBASE028.VDF : 7.11.44.225 2048 Bytes 02/10/2012 13:32:55
VBASE029.VDF : 7.11.44.226 2048 Bytes 02/10/2012 13:32:55
VBASE030.VDF : 7.11.44.227 2048 Bytes 02/10/2012 13:32:55
VBASE031.VDF : 7.11.44.234 41984 Bytes 02/10/2012 13:32:55
Motore : 8.2.10.178
AEVDF.DLL : 8.1.2.10 102772 Bytes 14/07/2012 18:31:04
AESCRIPT.DLL : 8.1.4.58 463226 Bytes 30/09/2012 18:40:19
AESCN.DLL : 8.1.9.2 131444 Bytes 30/09/2012 18:40:18
AESBX.DLL : 8.2.5.12 606578 Bytes 17/06/2012 17:20:37
AERDL.DLL : 8.1.9.15 639348 Bytes 05/11/2011 18:33:07
AEPACK.DLL : 8.3.0.38 811382 Bytes 30/09/2012 18:40:18
AEOFFICE.DLL : 8.1.2.48 201082 Bytes 25/09/2012 12:46:02
AEHEUR.DLL : 8.1.4.108 5329272 Bytes 30/09/2012 18:40:15
AEHELP.DLL : 8.1.24.0 258423 Bytes 30/09/2012 18:40:04
AEGEN.DLL : 8.1.5.38 434548 Bytes 30/09/2012 18:40:03
AEEXP.DLL : 8.2.0.2 115060 Bytes 30/09/2012 18:40:19
AEEMU.DLL : 8.1.3.2 393587 Bytes 14/07/2012 18:30:49
AECORE.DLL : 8.1.28.2 201079 Bytes 30/09/2012 18:40:02
AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:55:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:56:18
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:24:28
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:24:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:24:06
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:24:23
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:33
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:56:17
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:56:31
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:26:21
RCTEXT.DLL : 10.0.64.0 99176 Bytes 21/07/2011 11:26:21

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato
Categorie irregolari delle minacce..........: +GAME,

Avvio della scansione: martedì 2 ottobre 2012 15:36

È stata avviata la scansione per accertare la presenza di oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'rsmsink.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '60' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '70' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '64' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'RTHDCPL.EXE' - '37' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '99' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'dmwu.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'NMSAccessU.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'MDM.EXE' - '23' modulo(i) scansionato(i)
Scansione processo 'LVPrcSrv.exe' - '17' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '84' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'ANIWZCSdS.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'btwdins.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '165' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '38' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '79' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 3
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 4
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 515 file ).

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\System Volume Information\_restore{70CD3026-F86C-47FA-AADE-EF1CB8891B97}\RP203\A0046812.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen

Avvio della disinfezione:
C:\System Volume Information\_restore{70CD3026-F86C-47FA-AADE-EF1CB8891B97}\RP203\A0046812.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen

[shel]

ciao quell'infezione e' stata rilevata nel ripristino, basta disattivarlo e va' via, comunque avira l'ha eliminata

ora scarica combofix sul desktop
non installare la recovery console quando lo chiede
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

[eleivga]

sì ecco però mi spiace di nuovo con copia e incolla, wikisend non sembra voler funzionare stasera...:

ComboFix 12-10-02.02 - Elena 02/10/2012 22.27.47.7.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1022.444 [GMT 2:00]
Eseguito da: c:\documents and settings\Elena\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Disabled/Updated* {0013F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CE9-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\WindowsUpdate.log . . . . Eliminazione Fallita
.
.
((((((((((((((((((((((((( Files Creati Da 2012-09-02 al 2012-10-02 )))))))))))))))))))))))))))))))))))
.
.
2012-09-30 18:47 . 2012-09-30 18:47 -------- d-----w- C:\_OTL
2012-09-03 16:25 . 2012-09-28 07:34 -------- d-----w- c:\windows\system32\ARFC
2012-09-03 16:25 . 2012-09-13 13:26 1006448 ----a-w- c:\windows\system32\dmwu.exe
2012-09-03 16:25 . 2012-09-13 13:24 28160 ----a-w- c:\windows\system32\ImHttpComm.dll
2012-09-03 16:25 . 2011-06-10 22:58 773968 ----a-w- c:\windows\system32\msvcr100.dll
2012-09-03 16:25 . 2011-06-10 22:58 421200 ----a-w- c:\windows\system32\msvcp100.dll
2012-09-03 16:25 . 2011-05-13 23:17 632656 ----a-w- c:\windows\system32\msvcr80.dll
2012-09-03 16:25 . 2011-05-13 23:17 479232 ----a-w- c:\windows\system32\msvcm80.dll
2012-09-03 16:25 . 2011-05-13 23:17 554832 ----a-w- c:\windows\system32\msvcp80.dll
2012-09-03 16:25 . 2012-09-30 18:37 -------- d-----w- c:\windows\system32\WNLT
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-21 12:14 . 2012-06-08 17:39 696240 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-09-21 12:14 . 2011-07-27 17:14 73136 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-07 15:04 . 2012-02-12 17:48 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-28 15:05 . 2003-04-08 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2003-04-08 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2003-04-08 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2004-08-19 22:26 385024 ----a-w- c:\windows\system32\html.iec
2012-07-06 13:59 . 2003-04-08 12:00 78336 ----a-w- c:\windows\system32\browser.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"="c:\documents and settings\Elena\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"ccleaner"="c:\programmi\CCleaner\CCleaner.exe" [2012-08-22 3113312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"ScanSoft OmniPage SE 4.0-reminder"="c:\programmi\ScanSoft\OmniPageSE4.0\Ereg\Ereg.exe" [2005-06-03 729088]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2010-11-03 17:13 64104 ----a-w- c:\windows\ALCMTR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2011-12-05 14:49 20065384 ----a-w- c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2004-06-29 16:42 569344 ----a-r- c:\windows\sm56hlpr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Programmi\\Paint.NET\\PaintDotNet.exe"=
"c:\\Programmi\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Programmi\\Windows Media Player\\wmplayer.exe"=
"c:\\Programmi\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\WINDOWS\\system32\\msfeedssync.exe"=
"c:\\Programmi\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\Documents and Settings\\Elena\\Impostazioni locali\\Dati applicazioni\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dmwu.exe"=
"c:\\WINDOWS\\system32\\ARFC\\wrtc.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20.25.48 12872]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20.41.30 67656]
R2 WebOptimizer;WebOptimizer;c:\windows\system32\dmwu.exe [03/09/2012 18.25.45 1006448]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [02/10/2011 14.37.15 135664]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [08/06/2012 19.39.53 250288]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24/02/2012 22.25.50 1691480]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [02/10/2011 14.37.15 135664]
S3 Rockusb;Driver for Rockusb Device;c:\windows\system32\drivers\rockusb.sys [10/02/2012 19.11.04 44528]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-10-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-08 12:14]
.
2012-09-28 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-796845957-515967899-682003330-1004Core.job
- c:\documents and settings\Elena\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe [2012-02-22 07:58]
.
2012-10-02 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-796845957-515967899-682003330-1004UA.job
- c:\documents and settings\Elena\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe [2012-02-22 07:58]
.
2012-10-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-10-02 12:37]
.
2012-10-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-10-02 12:37]
.
2012-10-02 c:\windows\Tasks\User_Feed_Synchronization-{3D76707F-8957-40D4-AFAA-A489B3D2D46A}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = 127.0.0.1
IE: Aggiungi all'elenco di stampa Easy-WebPrint - c:\programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Anteprima Easy-WebPrint - c:\programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Free YouTube to MP3 Converter - c:\documents and settings\Elena\Dati applicazioni\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Invia a periferica &Bluetooth... - c:\programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Stampa ad alta velocità Easy-WebPrint - c:\programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Stampa Easy-WebPrint - c:\programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
TCP: DhcpNameServer = 192.168.1.1
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-10-02 22:37
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,75,bf,93,bc,6a,a6,0f,4a,90,0f,f3,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,75,bf,93,bc,6a,a6,0f,4a,90,0f,f3,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(872)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
.
- - - - - - - > 'explorer.exe'(3148)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programmi\File comuni\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programmi\File comuni\Adobe\Acrobat\ActiveX\PDFShell.ITA
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\Avira\AntiVir Desktop\avshadow.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Ora fine scansione: 2012-10-02 22:45:05 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-10-02 20:44
ComboFix2.txt 2012-02-22 15:21
.
Pre-Run: 111.693.938.688 byte disponibili
Post-Run: 111.864.377.344 byte disponibili
.
- - End Of File - - 4D87B191E1EFFE301132BCCEFC5E785A

[eleivga]

Shel, appena puoi; aspetto le tue dritte. ciao

[eleivga]

è dal 2 che non ti rileggo, forse sei fuori? io non so più che fare... se torni.......ti ringrazio

[shel]

ciao scusa ma avevo perso la discussione

controlla il file che ti avevo indicato C:\WINDOWS\System32\dmwu.exe

per il resto sembra tutto a posto, controlla se hai ancora il problema esposto all'inizio di questa discussione

[eleivga]

ok ma "controlla il file che ti avevo indicato C:\WINDOWS\System32\dmwu.exe" non capisco cosa devo fare, puoi chiarirmi ?
All'accensione compare sempre errore avgnt.exe e Mozilla Firefox l' avevo disinstallato, provo a rimetterlo ?