Virus Kido.eo, autorun.inf e Recycler su chiavette e periferiche rimuovibili [era: Il modem continua a macinare]

Versione Completa   Stampa   Cerca   Utenti   Iscriviti     Condividi : FacebookTwitter
AESSENET.ORG - Forum » AESSENET.ORG - Forum » Internet e Software » Sicurezza & Reti
bboss
00martedì 27 gennaio 2009 23:18
Non avevo altro titolo per descrivere questo problema
che ha un mio amico.
A rete connessa le spie del modem cominciano ad
andare anche senza nessun programma lanciato.
Ho fatto uno scan con Spyboot ma non ha trovato niente.
Ho lanciato hijackthis e il risultato che ora allego
no mi ha prodotto a quanto sembra alcun risultato.
In mezz'ora ha un traffico di 6 mega circa.

Cosa può essere?
edit:
per essere più precisi il traffico è in upload

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.02.45, on 27/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Trust\Trust R-Series Mouse\KMWDSrv.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\DME-N Network Driver.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\DOCUME~1\ivo\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [DME-N Network Driver] C:\WINDOWS\system32\DME-N Network Driver.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228546348156
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D3A814-8D33-4641-A5A1-B5424F9AECE0}: NameServer = 85.37.17.7 85.38.28.95
O23 - Service: a-squared Free Service (a2free) - Unknown owner - C:\DOCUME~1\ivo\IMPOST~1\Temp\RarSFX0\a2service.exe (file missing)
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programmi\Trust\Trust R-Series Mouse\KMWDSrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

boyuniversity
00mercoledì 28 gennaio 2009 12:43
il log pare anche a me pulito

questo non lo conosco -> C:\WINDOWS\system32\DME-N Network Driver.exe
ma penso possa esser legittimo

mi verrebbe in mente un dialer soprattutto se è un modem

prova a fargli fare una scansione approfondita in mod provvisoria con l'antivirus e a-squared e da mod normale con combofix(su quest'ultimo devi esserci anche tu perchè toglierà sicuramente qualcosa ma devi stare attentoi che sia tutta roba dannosa...si sa mai)
bboss
00mercoledì 28 gennaio 2009 14:02
Re:
boyuniversity, 28/01/2009 12.43:
il log pare anche a me pulito

questo non lo conosco -> C:\WINDOWS\system32\DME-N Network Driver.exe
ma penso possa esser legittimo

mi verrebbe in mente un dialer soprattutto se è un modem

prova a fargli fare una scansione approfondita in mod provvisoria con l'antivirus e a-squared e da mod normale con combofix(su quest'ultimo devi esserci anche tu perchè toglierà sicuramente qualcosa ma devi stare attentoi che sia tutta roba dannosa...si sa mai)
Il DME-N è a posto
La linea è una LAN ma parte come fosse un dialer
Mo provo
Grazie


boyuniversity
00mercoledì 28 gennaio 2009 18:34
Re: Re:
bboss, 28/01/2009 14.02:

Il DME-N è a posto
La linea è una LAN ma parte come fosse un dialer
Mo provo
Grazie





ricordati solo che i file cancellati da combofix li mette in una cartella propria in disco locale c mi pare

faami sapere
bboss
00mercoledì 28 gennaio 2009 21:11
Non è propriamente un dialer ma aspetta che
si apra la rete poi parte.
Sicuramente ha infettato un file del sistema
e l'avrà fatto al riavvio.
Ho provato avast (che avevo comodo) ha trovato
qualche cosa....ma niente di risolutivo.
Magari provo combofix ma mi viene un dubbio:
cancella senza dirti niente?
perche non mi piaccioni questi programmi.
A proposito speravo a avesse il ripristino del sistema
ma il maledetto gliel'ha disabilitato....il calendario è vuoto.
Ti ricordi come si ripristina?
Ciao
boyuniversity
00giovedì 29 gennaio 2009 00:24
Re:
bboss, 28/01/2009 21.11:
Non è propriamente un dialer ma aspetta che
si apra la rete poi parte.
Sicuramente ha infettato un file del sistema
e l'avrà fatto al riavvio.
Ho provato avast (che avevo comodo) ha trovato
qualche cosa....ma niente di risolutivo.
Magari provo combofix ma mi viene un dubbio:
cancella senza dirti niente?
perche non mi piaccioni questi programmi.
A proposito speravo a avesse il ripristino del sistema
ma il maledetto gliel'ha disabilitato....il calendario è vuoto.
Ti ricordi come si ripristina?
Ciao


ho il win 2k e non avendo sottomano un xp non so di preciso come si faccia ma google mi ha fornito 2 idee(mamma microcoz dice Per ulteriori informazioni sulla funzionalità Ripristino configurazione di sistema, fare clic sul pulsante Start, scegliere Guida in linea e supporto tecnico, digitare ripristino configurazione di sistema nella casella Cerca, quindi premere INVIO.)

la seconda è un programmino

per quanto riguarda combofix tu NON vedi cosa toglie ma come ben sai prima che i file eliminati siano davvero eliminati bisogna spegnere il pc allora tu vai nella cartella creata da combofix (a me si chiamava tipo QVSTR12)controlli il suo contenuto(a me aveva tolto per esempio ni pare regedit.exe e un altro file tipo monitor.exe + altra roba inutile e dannosa)
per esperienza ti dico che al 90% non sbaglia c'è sempre il 10% lo so però tutti i programmi di sicurezza hanno dei rischi..
fossi in te lo userei

comunque finchè non lo debelli non so se riesci a riabilitare il ripristino
bboss
00giovedì 29 gennaio 2009 21:27
Dunque Avast mi segnalava dei problemi ma non riusciva a risolverli.
Ho usato Combofix (molto interessante)ed ha trovato errori che
Avast non aveva trovato e ne ha trovato anche questo:
--------------------------
c:\documents and settings\pippo\Dati applicazioni\inst.exe
C:\Documents
c:\windows\emMON.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\msvcsv60.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\skinboxer43.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
---------------------------
che ha risolto come ha risolto anche quelli segnalati da Avast.
C'è qualche programma da reinstallare ma nel complesso il sistema
funziona....purtroppo però il modem macina ancora.
Esiste un sito che controlla il log di Combofix?
Grazie
Ciao
boyuniversity
00giovedì 29 gennaio 2009 23:15
Re:
bboss, 29/01/2009 21.27:
Dunque Avast mi segnalava dei problemi ma non riusciva a risolverli.
Ho usato Combofix (molto interessante)ed ha trovato errori che
Avast non aveva trovato e ne ha trovato anche questo:
--------------------------
c:\documents and settings\pippo\Dati applicazioni\inst.exe
C:\Documents
c:\windows\emMON.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\msvcsv60.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\skinboxer43.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
---------------------------
che ha risolto come ha risolto anche quelli segnalati da Avast.
C'è qualche programma da reinstallare ma nel complesso il sistema
funziona....purtroppo però il modem macina ancora.
Esiste un sito che controlla il log di Combofix?
Grazie
Ciao



che io sappia non esiste un sito come quello che analizza il log di hijackthis per quanto riguarda combofix

ho provato a vedere cosa sono quei file e vedo che ha tolto roba molto interessante

inst.exe-> Trojan.W32.RealSearch->rimozione dal regedit

emMON.exe->malware

msvcsv60.dll-> idem

skinboxer43.dll->spyware

gli altri credo siano tutti virus malware o simili

quindi fagli instllare non avast ma un ottimo antivirus come nod32(al momento andrebbe bene anche la versione trial)spybot e spywareblaster
li fai aggiornare e poi torni in mod provvisoria e fai far loro una bella scansione per vedere se ritrovano ancora qualcosa
tornato in mod normale controlla sia in installazione applicazione che sia tutto ok e poi anche nel task manager(magari da li vediamo qualcosa di interessante)
importante è fargli installare un ottimo firewall(tu conosci i sofftware e sicuramente saprai cosa fargli mettere)
infine riusi ancora combofix e vedi se trova ancora qualcosa

se il modem ha ad ora ancora problemi qualcosa dev'essere rimasto rifacendo tutto il problema potrebbe cessare se poi installi un firewall che mi pare non abbia allora dovrebbe cessare del tutto
bboss
00venerdì 30 gennaio 2009 09:13
Scusa non mi sono spiegato bene
quelli che ti ho segnalato li ha spostati qui
C:\Qoobox\Quarantine\C\WINDOWS\system32 rinominandoli .vir
però non ho capito se erano associato al virus o se sono
di sistema.
Come ho detto sembra funzioni tutto ...ma il modem macina [SM=x53915]

Questo è il suo primo log completo
___________________________
ComboFix 09-01-21.04 - ivo 2009-01-29 8.06.05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2038.1507 [GMT 1:00]
Eseguito da: c:\documents and settings\ivo\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090128-0] *On-access scanning disabled* (Updated)
* Creato nuovo punto di ripristino
.
I seguenti file sono stati disabilitati durante la scansione:
c:\programmi\File comuni\Logitech\LVMVFM\LVPrcInj.dll


((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\ivo\Dati applicazioni\inst.exe
C:\Documents
c:\windows\emMON.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\msvcsv60.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\skinboxer43.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_TDSSSERV
-------\Service_NPF
-------\Service_tdssserv


((((((((((((((((((((((((( Files Creati Da 2008-12-28 al 2009-01-29 )))))))))))))))))))))))))))))))))))
.

2009-01-29 07:21 . 2008-02-15 12:49 188,416 --a------ c:\windows\system32\igfxres.dll
2009-01-28 20:48 . 2008-02-15 12:46 159,744 --a------ c:\windows\system32\hkcmd.exe
2009-01-28 20:48 . 2008-02-15 13:21 147,456 --a------ c:\windows\system32\igfxCoIn_v4926.dll
2009-01-28 20:48 . 2008-02-15 12:46 135,168 --a------ c:\windows\system32\igfxtray.exe
2009-01-28 20:48 . 2008-02-15 12:46 131,072 --a------ c:\windows\system32\igfxpers.exe
2009-01-28 20:16 . 2009-01-28 20:16 <DIR> d-------- c:\programmi\Launch Manager
2009-01-28 20:15 . 2006-01-20 15:56 225,350 --a------ c:\windows\system32\Epm-Po.dll
2009-01-28 19:35 . 2006-10-30 11:36 385,024 --------- c:\windows\system32\DME-N Network Driver.exe
2009-01-28 19:35 . 2006-10-30 11:36 335,872 --------- c:\windows\system32\DMENcpl.cpl
2009-01-28 19:35 . 2006-10-16 13:51 14,336 --------- c:\windows\system32\DMENdrv.dll
2009-01-28 09:00 . 2009-01-28 09:00 <DIR> d-------- c:\programmi\Alwil Software
2009-01-28 07:25 . 2009-01-28 07:25 5,415 --a------ c:\windows\system32\Choice.com
2009-01-27 19:53 . 2009-01-27 19:53 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\ESET
2009-01-24 12:42 . 2009-01-24 12:42 <DIR> d-------- c:\documents and settings\ivo\Dati applicazioni\Smaart
2009-01-24 12:40 . 2009-01-24 12:42 <DIR> d-------- c:\programmi\Smaart 6
2009-01-24 07:50 . 2009-01-24 07:50 <DIR> d-------- c:\programmi\RdDrv001
2009-01-24 07:50 . 2007-12-04 13:38 221,184 --a------ c:\windows\system32\RDDP1046.DAT
2009-01-24 07:50 . 2007-12-04 13:42 173,889 --a------ c:\windows\system32\drivers\Rdwm1046.sys
2009-01-24 07:50 . 2007-12-04 13:38 81,920 --a------ c:\windows\system32\rdas1046.dll
2009-01-24 07:50 . 2007-12-04 13:38 57,344 --a------ c:\windows\system32\RDCP1046.CPL
2009-01-24 07:50 . 2007-12-04 13:38 31,862 --a------ c:\windows\system32\RdCi1046.dll
2009-01-24 07:50 . 2006-09-27 17:05 4,088 --a------ c:\windows\system32\RD3T1046.DAT
2009-01-20 12:26 . 2009-01-20 12:26 <DIR> d-------- c:\documents and settings\ivo\Dati applicazioni\Soundplant
2009-01-19 09:56 . 2001-03-25 15:10 118,784 --a------ c:\windows\system32\msstdfmt.dll
2009-01-19 09:47 . 2009-01-24 16:14 <DIR> d-------- c:\programmi\AudioFileHandler
2009-01-19 09:47 . 2006-09-26 07:44 62,464 --a------ c:\windows\system32\sevLock.dll
2009-01-15 19:47 . 2009-01-15 19:47 <DIR> d-------- C:\output video
2009-01-14 11:44 . 2009-01-14 11:44 <DIR> d-------- c:\programmi\Trend Micro
2009-01-03 18:26 . 2009-01-03 18:26 <DIR> d-------- c:\programmi\Digital1Audio

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 19:16 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-01-28 07:48 --------- d-----w c:\documents and settings\ivo\Dati applicazioni\wsInspector
2009-01-27 22:55 --------- d-----w c:\programmi\ESET
2009-01-26 21:17 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Babylon
2009-01-26 20:58 --------- d-----w c:\programmi\FlashFXP
2009-01-21 05:43 --------- d-----w c:\programmi\soundplant261r
2009-01-15 19:24 --------- d-----w c:\documents and settings\pippo\Dati applicazioni\Vso
2008-12-28 19:30 --------- d-----w c:\programmi\K-Lite Codec Pack
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 06:15 --------- d-----w c:\programmi\Ricerca Cap 4
2008-12-09 21:45 --------- d-----w c:\documents and settings\pippo\Dati applicazioni\Babylon
2008-06-16 19:47 47,360 -c--a-w c:\documents and settings\pippo\Dati applicazioni\pcouffin.sys
2007-03-09 07:12 27,648 --sha-w c:\windows\system32\AVSredirect.dll
2008-04-14 02:13 171,376 --sha-r c:\windows\system32\vwxtfj.dll
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
-c--a-w 2,462,208 2005-10-24 15:45:32 c:\acer\Empowering Technology\bak\admtray.exe
----a-w 2,462,208 2005-10-24 15:45:32 c:\acer\Empowering Technology\admtray.exe

-c--a-w 602,182 2006-04-14 10:52:18 c:\programmi\Intel\Wireless\Bin\bak\ifrmewrk.exe
----a-w 602,182 2006-04-14 10:52:18 c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe

-c--a-w 667,718 2006-04-14 10:51:52 c:\programmi\Intel\Wireless\Bin\bak\ZCfgSvc.exe
----a-w 667,718 2006-04-14 10:51:52 c:\programmi\Intel\Wireless\Bin\ZCfgSvc.exe

-c--a-w 271,360 2007-06-18 14:10:32 c:\programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe

-c--a-w 282,624 2007-02-16 09:54:04 c:\programmi\QuickTime\bak\qttask.exe
----a-w 385,024 2008-01-10 14:27:36 c:\programmi\QuickTime\QTTask.exe

-c--a-w 64,512 2005-08-17 21:40:06 c:\windows\ehome\bak\ehtray.exe
----a-w 64,512 2005-08-17 21:40:06 c:\windows\ehome\ehtray.exe

-c--a-w 208,952 2004-09-07 19:00:00 c:\windows\ime\imjp8_1\bak\IMJPMIG.EXE
----a-w 208,952 2004-09-07 19:00:00 c:\windows\ime\imjp8_1\imjpmig.exe

-c--a-w 15,360 2004-09-07 19:00:00 c:\windows\system32\bak\ctfmon.exe
----a-w 15,360 2008-04-14 02:14:03 c:\windows\system32\ctfmon.exe

-c--a-w 155,648 2007-02-26 08:34:28 c:\windows\system32\bak\hkcmd.exe
----a-w 159,744 2008-02-15 11:46:46 c:\windows\system32\hkcmd.exe

-c--a-w 131,072 2007-02-26 08:33:56 c:\windows\system32\bak\igfxpers.exe
----a-w 131,072 2008-02-15 11:46:18 c:\windows\system32\igfxpers.exe

-c--a-w 131,072 2007-02-26 08:34:28 c:\windows\system32\bak\igfxtray.exe
----a-w 135,168 2008-02-15 11:46:46 c:\windows\system32\igfxtray.exe

-c--a-w 59,392 2004-09-07 19:00:00 c:\windows\system32\IME\PINTLGNT\bak\ImScInst.exe
----a-w 59,392 2004-09-07 19:00:00 c:\windows\system32\IME\PINTLGNT\imscinst.exe

-c--a-w 455,168 2004-09-07 19:00:00 c:\windows\system32\IME\TINTLGNT\bak\TINTSETP.EXE
-c--a-w 455,168 2004-09-07 19:00:00 c:\windows\system32\IME\TINTLGNT\tintsetp.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-17 64512]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-09-07 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-09-07 59392]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"H2O"="c:\programmi\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 307200]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-01-10 385024]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-14 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-20 3080192]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~2\REPLAY~1\iac25_32.ax
"midi3"= xgusb.cpl
"msacm.fraunhoferacm"= l3codecp.acm
"midi4"= xgusb.cpl
"midi5"= xgusb.cpl
"MIDI"= DMENDRV.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\FlashFXP\\FlashFXP.exe"=
"c:\\Programmi\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Resolume 2.4\\resolume.exe"=
"c:\\WINDOWS\\system32\\DME-N Network Driver.exe"=
"c:\\Programmi\\Lphant\\eLePhantClient.exe"=
"c:\\Programmi\\SoundSpectrum\\G-Force\\G-Force Standalone.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3619:TCP"= 3619:TCP:dxtrcp

R0 HFXP2;HFXP2;c:\windows\system32\drivers\hfxp2.sys [2007-04-13 17264]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-28 111184]
R1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2007-01-23 33792]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2008-08-27 28672]
R3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\drivers\NdisFilt.sys [2005-09-13 4392]
R3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\Rdwm1046.sys [2009-01-24 173889]
R4 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programmi\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51:58 13560]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-28 20560]
R4 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-01-23 4096]
R4 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-01-23 78208]
R4 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programmi\Trust\Trust R-Series Mouse\KMWDSrv.exe [2007-06-08 208896]
R4 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R4 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S1 efbDisk;efbDisk; [x]
S3 cxwibu;Team H2O WIBU Driver;\??\c:\programmi\WIBUKEY\H2O\cxwibu.sys --> c:\programmi\WIBUKEY\H2O\cxwibu.sys [?]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [2006-06-19 1097728]
S3 PCX500;Driver per schede LAN senza fili Cisco;c:\windows\system32\drivers\pcx500.sys [2008-09-30 169984]
S3 SDTHOOK;SDTHOOK;c:\windows\system32\drivers\SDTHOOK.SYS [2008-03-12 44928]
S4 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2007-01-23 11264]
S4 ttbgzrn;Center Monitor;c:\windows\system32\svchost.exe -k netsvcs [2004-09-07 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ttbgzrn

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e60873c-af30-11dd-b5dc-0016d41dd928}]
\Shell\AutoRun\command - F:\SuperLink.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca1cfa24-5a84-11dd-b3eb-0016d41dd928}]
\Shell\AutoRun\command - F:\nideiect.com
\Shell\explore\Command - F:\nideiect.com
\Shell\open\Command - F:\nideiect.com
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.corriere.it/
uInternet Connection Wizard,ShellNext = hxxp://www.aceradvantage.com/stdreg

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 08:14:06
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programmi\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ttbgzrn]
"ServiceDll"="c:\windows\system32\vwxtfj.dll"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,b3,a6,2d,eb,ce,
ff,4c,b8,e2,63,26,f1,3f,c8,ff,68,f5,51,c8,94,20,07,57,f7,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,c4,dc,dd,73,4c,
aa,fa,c3,6a,9c,d6,61,af,45,84,18,5a,aa,08,9d,85,c3,aa,a8,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,e2,da,53,e8,69,
0c,b6,e5,ff,7c,85,e0,43,d4,0e,fe,5c,74,26,48,7d,d0,4b,89,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,29,e6,bf,7b,7b,
81,ce,7c,86,8c,21,01,be,91,eb,e7,d6,8e,bb,2e,a8,9f,60,3d,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,a7,0c,4f,07,0d,
89,da,a6,f5,1d,4d,73,a8,13,5c,05,34,c8,e0,f6,78,78,6a,b6,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,ba,fb,c5,d5,98,
78,ce,35,df,20,58,62,78,6b,cf,c8,b3,36,d1,b7,96,00,a2,c4,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,11,6e,3c,81,24,
1a,7a,94,fb,a7,78,e6,12,2f,9a,ea,a0,60,32,22,02,33,16,56,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,18,99,54,90,22,
c6,1c,d3,01,3a,48,fc,e8,04,4a,f1,b7,3d,32,c7,61,21,8f,24,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,ec,0a,33,fa,b7,
7a,32,8e,f6,0f,4e,58,98,5b,89,c9,dd,7f,c7,fb,81,1f,3c,ea,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,50,17,7b,6a,04,
a7,29,44,3d,ce,ea,26,2d,45,aa,78,cd,0e,82,f1,da,aa,88,47,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,7c,62,07,89,23,
88,cb,98,2a,b7,cc,b5,b9,7f,41,e7,70,e1,12,5e,7d,d9,44,e5,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,e3,c1,2e,4e,7a,
8e,a1,06,6c,43,2d,1e,aa,22,2f,9c,9a,88,7c,f1,9f,0e,d7,2e,6c,43,2d,1e,aa,22,\
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Intel\Wireless\Bin\EvtEng.exe
c:\windows\system32\WudfHost.exe
c:\programmi\Intel\Wireless\Bin\S24EvMon.exe
c:\programmi\Alwil Software\Avast4\aswUpdSv.exe
c:\programmi\Alwil Software\Avast4\ashServ.exe
c:\programmi\File comuni\Logitech\LVMVFM\LVPrcSrv.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\Crypserv.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programmi\File comuni\LightScribe\LSSrvc.exe
c:\windows\system32\igfxsrvc.exe
c:\programmi\Intel\Wireless\Bin\RegSrvc.exe
c:\programmi\CyberLink\Shared files\RichVideo.exe
c:\programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\igfxext.exe
c:\docume~1\ivo\IMPOST~1\temp\RtkBtMnt.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\wscntfy.exe
c:\programmi\Alwil Software\Avast4\ashMaiSv.exe
c:\programmi\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Ora fine scansione: 2009-01-29 8:19:51 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-01-29 07:19:47

Pre-Run: 36.263.190.016 byte disponibili
Post-Run: 37,087,272,960 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptIn

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
314
_____________________________

[questo è dopo due passaggi e come errori non mi riporta niente /DIM]

____________________________

ComboFix 09-01-21.04 - ivo 2009-01-29 8.06.05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2038.1507 [GMT 1:00]
Eseguito da: c:\documents and settings\ivo\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090128-0] *On-access scanning disabled* (Updated)
* Creato nuovo punto di ripristino
.
I seguenti file sono stati disabilitati durante la scansione:
c:\programmi\File comuni\Logitech\LVMVFM\LVPrcInj.dll


((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\pippo\Dati applicazioni\inst.exe
C:\Documents
c:\windows\emMON.exe
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\msvcsv60.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\skinboxer43.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_TDSSSERV
-------\Service_NPF
-------\Service_tdssserv


((((((((((((((((((((((((( Files Creati Da 2008-12-28 al 2009-01-29 )))))))))))))))))))))))))))))))))))
.

2009-01-29 07:21 . 2008-02-15 12:49 188,416 --a------ c:\windows\system32\igfxres.dll
2009-01-28 20:48 . 2008-02-15 12:46 159,744 --a------ c:\windows\system32\hkcmd.exe
2009-01-28 20:48 . 2008-02-15 13:21 147,456 --a------ c:\windows\system32\igfxCoIn_v4926.dll
2009-01-28 20:48 . 2008-02-15 12:46 135,168 --a------ c:\windows\system32\igfxtray.exe
2009-01-28 20:48 . 2008-02-15 12:46 131,072 --a------ c:\windows\system32\igfxpers.exe
2009-01-28 20:16 . 2009-01-28 20:16 <DIR> d-------- c:\programmi\Launch Manager
2009-01-28 20:15 . 2006-01-20 15:56 225,350 --a------ c:\windows\system32\Epm-Po.dll
2009-01-28 19:35 . 2006-10-30 11:36 385,024 --------- c:\windows\system32\DME-N Network Driver.exe
2009-01-28 19:35 . 2006-10-30 11:36 335,872 --------- c:\windows\system32\DMENcpl.cpl
2009-01-28 19:35 . 2006-10-16 13:51 14,336 --------- c:\windows\system32\DMENdrv.dll
2009-01-28 09:00 . 2009-01-28 09:00 <DIR> d-------- c:\programmi\Alwil Software
2009-01-28 07:25 . 2009-01-28 07:25 5,415 --a------ c:\windows\system32\Choice.com
2009-01-27 19:53 . 2009-01-27 19:53 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\ESET
2009-01-24 12:42 . 2009-01-24 12:42 <DIR> d-------- c:\documents and settings\pippo\Dati applicazioni\Smaart
2009-01-24 12:40 . 2009-01-24 12:42 <DIR> d-------- c:\programmi\Smaart 6
2009-01-24 07:50 . 2009-01-24 07:50 <DIR> d-------- c:\programmi\RdDrv001
2009-01-24 07:50 . 2007-12-04 13:38 221,184 --a------ c:\windows\system32\RDDP1046.DAT
2009-01-24 07:50 . 2007-12-04 13:42 173,889 --a------ c:\windows\system32\drivers\Rdwm1046.sys
2009-01-24 07:50 . 2007-12-04 13:38 81,920 --a------ c:\windows\system32\rdas1046.dll
2009-01-24 07:50 . 2007-12-04 13:38 57,344 --a------ c:\windows\system32\RDCP1046.CPL
2009-01-24 07:50 . 2007-12-04 13:38 31,862 --a------ c:\windows\system32\RdCi1046.dll
2009-01-24 07:50 . 2006-09-27 17:05 4,088 --a------ c:\windows\system32\RD3T1046.DAT
2009-01-20 12:26 . 2009-01-20 12:26 <DIR> d-------- c:\documents and settings\ivo\Dati applicazioni\Soundplant
2009-01-19 09:56 . 2001-03-25 15:10 118,784 --a------ c:\windows\system32\msstdfmt.dll
2009-01-19 09:47 . 2009-01-24 16:14 <DIR> d-------- c:\programmi\AudioFileHandler
2009-01-19 09:47 . 2006-09-26 07:44 62,464 --a------ c:\windows\system32\sevLock.dll
2009-01-15 19:47 . 2009-01-15 19:47 <DIR> d-------- C:\output video
2009-01-14 11:44 . 2009-01-14 11:44 <DIR> d-------- c:\programmi\Trend Micro
2009-01-03 18:26 . 2009-01-03 18:26 <DIR> d-------- c:\programmi\Digital1Audio

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 19:16 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-01-28 07:48 --------- d-----w c:\documents and settings\ivo\Dati applicazioni\wsInspector
2009-01-27 22:55 --------- d-----w c:\programmi\ESET
2009-01-26 21:17 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Babylon
2009-01-26 20:58 --------- d-----w c:\programmi\FlashFXP
2009-01-21 05:43 --------- d-----w c:\programmi\soundplant261r
2009-01-15 19:24 --------- d-----w c:\documents and settings\ivo\Dati applicazioni\Vso
2008-12-28 19:30 --------- d-----w c:\programmi\K-Lite Codec Pack
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 06:15 --------- d-----w c:\programmi\Ricerca Cap 4
2008-12-09 21:45 --------- d-----w c:\documents and settings\ivo\Dati applicazioni\Babylon
2008-06-16 19:47 47,360 -c--a-w c:\documents and settings\ivo\Dati applicazioni\pcouffin.sys
2007-03-09 07:12 27,648 --sha-w c:\windows\system32\AVSredirect.dll
2008-04-14 02:13 171,376 --sha-r c:\windows\system32\vwxtfj.dll
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
-c--a-w 2,462,208 2005-10-24 15:45:32 c:\acer\Empowering Technology\bak\admtray.exe
----a-w 2,462,208 2005-10-24 15:45:32 c:\acer\Empowering Technology\admtray.exe

-c--a-w 602,182 2006-04-14 10:52:18 c:\programmi\Intel\Wireless\Bin\bak\ifrmewrk.exe
----a-w 602,182 2006-04-14 10:52:18 c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe

-c--a-w 667,718 2006-04-14 10:51:52 c:\programmi\Intel\Wireless\Bin\bak\ZCfgSvc.exe
----a-w 667,718 2006-04-14 10:51:52 c:\programmi\Intel\Wireless\Bin\ZCfgSvc.exe

-c--a-w 271,360 2007-06-18 14:10:32 c:\programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe

-c--a-w 282,624 2007-02-16 09:54:04 c:\programmi\QuickTime\bak\qttask.exe
----a-w 385,024 2008-01-10 14:27:36 c:\programmi\QuickTime\QTTask.exe

-c--a-w 64,512 2005-08-17 21:40:06 c:\windows\ehome\bak\ehtray.exe
----a-w 64,512 2005-08-17 21:40:06 c:\windows\ehome\ehtray.exe

-c--a-w 208,952 2004-09-07 19:00:00 c:\windows\ime\imjp8_1\bak\IMJPMIG.EXE
----a-w 208,952 2004-09-07 19:00:00 c:\windows\ime\imjp8_1\imjpmig.exe

-c--a-w 15,360 2004-09-07 19:00:00 c:\windows\system32\bak\ctfmon.exe
----a-w 15,360 2008-04-14 02:14:03 c:\windows\system32\ctfmon.exe

-c--a-w 155,648 2007-02-26 08:34:28 c:\windows\system32\bak\hkcmd.exe
----a-w 159,744 2008-02-15 11:46:46 c:\windows\system32\hkcmd.exe

-c--a-w 131,072 2007-02-26 08:33:56 c:\windows\system32\bak\igfxpers.exe
----a-w 131,072 2008-02-15 11:46:18 c:\windows\system32\igfxpers.exe

-c--a-w 131,072 2007-02-26 08:34:28 c:\windows\system32\bak\igfxtray.exe
----a-w 135,168 2008-02-15 11:46:46 c:\windows\system32\igfxtray.exe

-c--a-w 59,392 2004-09-07 19:00:00 c:\windows\system32\IME\PINTLGNT\bak\ImScInst.exe
----a-w 59,392 2004-09-07 19:00:00 c:\windows\system32\IME\PINTLGNT\imscinst.exe

-c--a-w 455,168 2004-09-07 19:00:00 c:\windows\system32\IME\TINTLGNT\bak\TINTSETP.EXE
-c--a-w 455,168 2004-09-07 19:00:00 c:\windows\system32\IME\TINTLGNT\tintsetp.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-17 64512]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-09-07 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-09-07 59392]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"H2O"="c:\programmi\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 307200]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-01-10 385024]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-14 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-20 3080192]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~2\REPLAY~1\iac25_32.ax
"midi3"= xgusb.cpl
"msacm.fraunhoferacm"= l3codecp.acm
"midi4"= xgusb.cpl
"midi5"= xgusb.cpl
"MIDI"= DMENDRV.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\FlashFXP\\FlashFXP.exe"=
"c:\\Programmi\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Resolume 2.4\\resolume.exe"=
"c:\\WINDOWS\\system32\\DME-N Network Driver.exe"=
"c:\\Programmi\\Lphant\\eLePhantClient.exe"=
"c:\\Programmi\\SoundSpectrum\\G-Force\\G-Force Standalone.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3619:TCP"= 3619:TCP:dxtrcp

R0 HFXP2;HFXP2;c:\windows\system32\drivers\hfxp2.sys [2007-04-13 17264]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-28 111184]
R1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2007-01-23 33792]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2008-08-27 28672]
R3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\drivers\NdisFilt.sys [2005-09-13 4392]
R3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\Rdwm1046.sys [2009-01-24 173889]
R4 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programmi\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51:58 13560]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-28 20560]
R4 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-01-23 4096]
R4 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-01-23 78208]
R4 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programmi\Trust\Trust R-Series Mouse\KMWDSrv.exe [2007-06-08 208896]
R4 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R4 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S1 efbDisk;efbDisk; [x]
S3 cxwibu;Team H2O WIBU Driver;\??\c:\programmi\WIBUKEY\H2O\cxwibu.sys --> c:\programmi\WIBUKEY\H2O\cxwibu.sys [?]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [2006-06-19 1097728]
S3 PCX500;Driver per schede LAN senza fili Cisco;c:\windows\system32\drivers\pcx500.sys [2008-09-30 169984]
S3 SDTHOOK;SDTHOOK;c:\windows\system32\drivers\SDTHOOK.SYS [2008-03-12 44928]
S4 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2007-01-23 11264]
S4 ttbgzrn;Center Monitor;c:\windows\system32\svchost.exe -k netsvcs [2004-09-07 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ttbgzrn

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e60873c-af30-11dd-b5dc-0016d41dd928}]
\Shell\AutoRun\command - F:\SuperLink.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca1cfa24-5a84-11dd-b3eb-0016d41dd928}]
\Shell\AutoRun\command - F:\nideiect.com
\Shell\explore\Command - F:\nideiect.com
\Shell\open\Command - F:\nideiect.com
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.corriere.it/
uInternet Connection Wizard,ShellNext = hxxp://www.aceradvantage.com/stdreg
Trusted Zone: unicreditbanca.it
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 08:14:06
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programmi\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ttbgzrn]
"ServiceDll"="c:\windows\system32\vwxtfj.dll"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,b3,a6,2d,eb,ce,
ff,4c,b8,e2,63,26,f1,3f,c8,ff,68,f5,51,c8,94,20,07,57,f7,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,c4,dc,dd,73,4c,
aa,fa,c3,6a,9c,d6,61,af,45,84,18,5a,aa,08,9d,85,c3,aa,a8,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,e2,da,53,e8,69,
0c,b6,e5,ff,7c,85,e0,43,d4,0e,fe,5c,74,26,48,7d,d0,4b,89,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,29,e6,bf,7b,7b,
81,ce,7c,86,8c,21,01,be,91,eb,e7,d6,8e,bb,2e,a8,9f,60,3d,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,a7,0c,4f,07,0d,
89,da,a6,f5,1d,4d,73,a8,13,5c,05,34,c8,e0,f6,78,78,6a,b6,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,ba,fb,c5,d5,98,
78,ce,35,df,20,58,62,78,6b,cf,c8,b3,36,d1,b7,96,00,a2,c4,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,11,6e,3c,81,24,
1a,7a,94,fb,a7,78,e6,12,2f,9a,ea,a0,60,32,22,02,33,16,56,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,18,99,54,90,22,
c6,1c,d3,01,3a,48,fc,e8,04,4a,f1,b7,3d,32,c7,61,21,8f,24,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,ec,0a,33,fa,b7,
7a,32,8e,f6,0f,4e,58,98,5b,89,c9,dd,7f,c7,fb,81,1f,3c,ea,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,50,17,7b,6a,04,
a7,29,44,3d,ce,ea,26,2d,45,aa,78,cd,0e,82,f1,da,aa,88,47,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,7c,62,07,89,23,
88,cb,98,2a,b7,cc,b5,b9,7f,41,e7,70,e1,12,5e,7d,d9,44,e5,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,e3,c1,2e,4e,7a,
8e,a1,06,6c,43,2d,1e,aa,22,2f,9c,9a,88,7c,f1,9f,0e,d7,2e,6c,43,2d,1e,aa,22,\
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Intel\Wireless\Bin\EvtEng.exe
c:\windows\system32\WudfHost.exe
c:\programmi\Intel\Wireless\Bin\S24EvMon.exe
c:\programmi\Alwil Software\Avast4\aswUpdSv.exe
c:\programmi\Alwil Software\Avast4\ashServ.exe
c:\programmi\File comuni\Logitech\LVMVFM\LVPrcSrv.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\Crypserv.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programmi\File comuni\LightScribe\LSSrvc.exe
c:\windows\system32\igfxsrvc.exe
c:\programmi\Intel\Wireless\Bin\RegSrvc.exe
c:\programmi\CyberLink\Shared files\RichVideo.exe
c:\programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\igfxext.exe
c:\docume~1\ivo\IMPOST~1\temp\RtkBtMnt.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\wscntfy.exe
c:\programmi\Alwil Software\Avast4\ashMaiSv.exe
c:\programmi\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Ora fine scansione: 2009-01-29 8:19:51 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-01-29 07:19:47

Pre-Run: 36.263.190.016 byte disponibili
Post-Run: 37,087,272,960 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptIn

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
314
_______________________________


Ripeto i programmi sembrano girare quasi tutti
......purtroppo gira anche il modem.
Mi concentrerò domani perchè oggi sono impegnato.
Ulteriori suggerimenti sono sempre benvenuti
Grazie
Ciao

boyuniversity
00venerdì 30 gennaio 2009 11:26
però non ho capito se erano associato al virus o se sono
di sistema.


sono tutti associati a virus e spyware

Come ho detto sembra funzioni tutto ...ma il modem macina


il suo l'ha fatto ma credo che qualcosa ssssia rimasto

fai come ti ho detto nel post precedente e sappimi dire [SM=x53911]
bboss
00sabato 31 gennaio 2009 13:44
Non ho potuto fare tanto ma mi ha incuriosito
uno cosa:
se tento di collegarmi ad un antivir on line
non si collega a neesun sito ...solo a questo:
http://onecare.live.com/site/en-US/default.htm
e se non ricordo male è un sito da fidarsi poco [SM=x53923]
....è un virus tosto questo!!!
Sarebbe giusto formattare ma mi piacerebbe saperne di più
prima di farlo

boyuniversity
00sabato 31 gennaio 2009 18:42
Re:
bboss, 31/01/2009 13.44:
Non ho potuto fare tanto ma mi ha incuriosito
uno cosa:
se tento di collegarmi ad un antivir on line
non si collega a neesun sito ...solo a questo:
http://onecare.live.com/site/en-US/default.htm
e se non ricordo male è un sito da fidarsi poco [SM=x53923]
....è un virus tosto questo!!!
Sarebbe giusto formattare ma mi piacerebbe saperne di più
prima di farlo





il link è di microsoft live one care ossia il primo antivirus proposto da mamma microcoz che fu un fiasco

se hai guardato nella sezione discussione avevo postato in programmi per la sicurezza alcuni antivurs con scansione on line non so se li hai provati tutti prova a controllare,li trovi altri programmi che potresti usare come avenger o simili
provare non costa nulla
hai controllato se nel task manager c'è qualche file un po' strano???idem in installazione applicazione...
per ora non formattare mai dire mai...anche se ammetto che davvero questo virus/dialer di cui ancora non sappiamo il nome è davvero tosto
bboss
00domenica 1 febbraio 2009 09:59
esempio in questi
http://housecall.trendmicro.com/it/
http://housecall.trendmicro.com/it/
http://www.kaspersky.com/virusscanner
non entro nemmeno con un secondo PC
collegato allo stesso router e modem
e sono link che ho preso freschi da google.
...non so a cosa pensare.
Combofix aveva trovato dei .bak e si riferivano ad
utilita della casa madre del PC del tipo
eRecoveri eDataSecurity
Non mi fa entrare nemmeno qui
http://www.virustotal.com
Puoi verificarli?
Mi viene in mente (anche se sembra una stronzata)
che sia colpa del router o del modem?
Due PC che nella stessa rete non si connetono a quei
siti ....sembra un blocco esterno al PC.
Ciao

edit:
anche il secondo pc che non è quasi mai stato in rete
una volta collegato il modem macina come quando è acceso l'altro [SM=x53925]

boyuniversity
00domenica 1 febbraio 2009 13:06
interessante..

esempio in questi
http://housecall.trendmicro.com/it/
http://housecall.trendmicro.com/it/
http://www.kaspersky.com/virusscanner
non entro nemmeno con un secondo PC
collegato allo stesso router e modem
e sono link che ho preso freschi da google.
...non so a cosa pensare.


allora a me funzionano entrambi senza problemi..


quindi se non ho capito male tu non entri solo in determinati siti(e solo di sicurezza)
provato con tutti i broswer che hai?

Combofix aveva trovato dei .bak e si riferivano ad
utilita della casa madre del PC del tipo
eRecoveri eDataSecurity


non credo che sia dovuto a questo il problema,comunque può sempre rimetterli a posto ripristinandoli dalla cartella di combofix

Non mi fa entrare nemmeno qui
http://www.virustotal.com
Puoi verificarli?


verificato e funziona alla perfezione

Mi viene in mente (anche se sembra una stronzata)
che sia colpa del router o del modem?


ma sai che comincio a pensarlo anch'io..qualcuno ha mica settato il router??

bboss ho bisogno che tu i risponda a questo(visto che anche un possibile format non servirebbe ad un tubo se il problema sono router o modem)
1)controlla in installazione/applicazione se hai qualcosa di particolare)
2)idem nel task manager
3)devi installare A-SQUARED,1)Panda Anti-Rootkit O 2)McAfee Rootkit Detective (che sono antirootkit)e the avenger che trovi tutti qua aggiornali poi vai in provvisoria e ci dai dentro poi leggi quime lo insegnò anche il grande comatrix
4)riusa hijackthis che facciamo un confronto

se anche così il problema non si risolve allora le tue idee non sono stronzate anzi..


bboss
00domenica 1 febbraio 2009 19:23
La curiosità è tanta ma non so quanto resisterò ancora.
Ho installato a-squared e come ho lanciato explorer
il resident shield mi ha segnalato che c'è un problema
ma mi propone solamente di bloccarlo.
Ora lo sto facendo girare vediamo alla fine cosa mi dice.
Ptaticamente la cosa più curiosa è che blocca
solo certi siti (quasi tutti quelli di antivirus)e
anche qualsiasi sito M$ [SM=x53925]

edit:
alla fine mi ha detto che non ci sono dialer
...ma il modem macina [SM=x53927]


bboss
00lunedì 2 febbraio 2009 10:07
Il modem che macina tradotto è Downadup
questo era il problema ed ho trovato
notizie e tools qui
http://forum.lowyat.net/topic/907123
dove ho potuto scaricare i tools dato che non
mi permetteva di collegarmi ai sito antivirus (bella sta storia)
che ora funzionano tutti e mi posso collegare anche alla M$
cosa che prima non potevo fare.
Ho dovuto ripristinare gli aggiornamenti automatici
di win perchè li aveva disabilitati
Il virus che è legato al file autorun.inf si trasmette
con le penne USB e bisognerebbe disabilitare l'autorun
sulle penne USB ...per stare tranquilli.
Praticamente tramite l'autorun fa partire un file
che si trova dentro una cartella appositamente creata
sulla penna con il nome RECYCLER dove in una cartella
c'è il file jwgkvsq.vmx.
Dei files che ho scaricato ho usato
anti-downadup
f-downadup_20080119
e il Symatec
FixDownadup.v1.05.exe
Ricordo che sono importanti quei link sul sito
perchè il maledetto non fa connettere ai siti diantivirus [SM=x53925]
Adesso sembra a posto.....sembra [SM=x53915]
Ciao

boyuniversity
00lunedì 2 febbraio 2009 11:56
Re:
bboss, 02/02/2009 10.07:
Il modem che macina tradotto è Downadup
questo era il problema ed ho trovato
notizie e tools qui
http://forum.lowyat.net/topic/907123
dove ho potuto scaricare i tools dato che non
mi permetteva di collegarmi ai sito antivirus (bella sta storia)
che ora funzionano tutti e mi posso collegare anche alla M$
cosa che prima non potevo fare.
Ho dovuto ripristinare gli aggiornamenti automatici
di win perchè li aveva disabilitati
Il virus che è legato al file autorun.inf si trasmette
con le penne USB e bisognerebbe disabilitare l'autorun
sulle penne USB ...per stare tranquilli.
Praticamente tramite l'autorun fa partire un file
che si trova dentro una cartella appositamente creata
sulla penna con il nome RECYCLER dove in una cartella
c'è il file jwgkvsq.vmx.
Dei files che ho scaricato ho usato
anti-downadup
f-downadup_20080119
e il Symatec
FixDownadup.v1.05.exe
Ricordo che sono importanti quei link sul sito
perchè il maledetto non fa connettere ai siti diantivirus [SM=x53925]
Adesso sembra a posto.....sembra [SM=x53915]
Ciao




e bravo il buon bboss alla fine il tuo lavoro ha pagato [SM=x53914]
bboss
00lunedì 2 febbraio 2009 15:39
....sembrava finita
il problema è che ho ripulito il SO e le penne "USB"
dall'autorun.inf e della cartella Recycled ma non riuscivo a toglierlo dai dischi usb che erano stati collegati mentre
il SO era infetto.... nemmeno in modalità provvisoria [SM=x53923]
Ho disabilitato l'autorun dal sistema ma i due file
maledetti non si cancellavano.
Ho installato anche Autorun Heater ....ma niente
mi è venuto allora in mente un vecchio trucco
di provare a spostarlo in una cartella e da quella eliminarlo
proprio usando taglia e incolla.
Sembra una operazione stupida anche perchè se non accetta
di essere cancellato dal sistema ...men che meno dovrebbe
accettare di essere spostato...li è scritto e li deve stare.
Alla fine ha funzionato [SM=x53915] e..."credo"
di aver risolto...e il modem non macina più.
....loro non mollano....nemmeno io [SM=x53915]
PS
il files in questione non sono visibili a meno che
non si attivi in Strumenti/Opzioni Cartella/Visualizzazione
e togliere la spunta a: Nascondi file protetti dal Sistema
Chissa quante sorprese verrebero fuori a chi prova
questa configurazione [SM=x53915]

boyuniversity
00lunedì 2 febbraio 2009 18:18
Re:
bboss, 02/02/2009 15.39:
....sembrava finita
il problema è che ho ripulito il SO e le penne "USB"
dall'autorun.inf e della cartella Recycled ma non riuscivo a toglierlo dai dischi usb che erano stati collegati mentre
il SO era infetto.... nemmeno in modalità provvisoria [SM=x53923]
Ho disabilitato l'autorun dal sistema ma i due file
maledetti non si cancellavano.
Ho installato anche Autorun Heater ....ma niente
mi è venuto allora in mente un vecchio trucco
di provare a spostarlo in una cartella e da quella eliminarlo
proprio usando taglia e incolla.
Sembra una operazione stupida anche perchè se non accetta
di essere cancellato dal sistema ...men che meno dovrebbe
accettare di essere spostato...li è scritto e li deve stare.
Alla fine ha funzionato [SM=x53915] e..."credo"
di aver risolto...e il modem non macina più.
....loro non mollano....nemmeno io [SM=x53915]
PS
il files in questione non sono visibili a meno che
non si attivi in Strumenti/Opzioni Cartella/Visualizzazione
e togliere la spunta a: Nascondi file protetti dal Sistema
Chissa quante sorprese verrebero fuori a chi prova
questa configurazione [SM=x53915]




hai avuto una brillantissima idea che mai a me sarebbe venuta in mente
quei file da te tolti molto spesso sono vitali ma si vede che si erano creati proprio a causa del virus(la cartella recycled ha al suo interno file spesso importanti)
complimenti bboss gran lavoro!
Arkantos01
00lunedì 2 febbraio 2009 21:14
Leggo solo ora la discussione. In futuro oltre all'alternativa proposta da bboss c'è un programmino: unlocker che si occupa di eliminare i file in utilizzo ed ineliminabili.
bboss
00sabato 7 febbraio 2009 09:03
Riassunto:
come sia stato preso non l'ho capito probabilmete
da una penna infettata.
Praticamente conviene tenere disabilitato l'autorun di windows
perchè basta un amico con una penna USB infattata che
si richia di prenderlo.
Quello che non ho capito è se il lancio avviene automaticamente
o se bisogna dare il consenso all'esecuzione perchè nel
tentativo di cancellare il file di autorun da un HD USB
(con un PC di un amico che si è prestato all'esperimento)
ho visto dopo averlo collegato comparire una videata di richiesta
di installazione di nuovo hardware che bisognava dare l'ok
perchè continuasse....chiaramente non l'ho eseguito.
Altra cosa che mi incuriosiva è come faceva a bloccare
tutti (meno uno ma di scarsissima importanza)i siti antivir.
Per chi avesse bisogno ho caricato il tool qui
con il file di F-Secure aggiornato con la patch per windows
che alla fineconviene installare
e il NoAutoRun.....che fa star tranquilli [SM=x53915]

Auguri
ps
se qualche Admin ripulisse un pò il thread dai miei log
smisurati (e che tutto sommato servono a poco) serabbe meglio.
Ho lanciato anche il Symantec ma sicuramente non serve a niente.



Questa è la versione 'lo-fi' del Forum Per visualizzare la versione completa clicca qui
Tutti gli orari sono GMT+01:00. Adesso sono le 06:48.
Copyright © 2000-2024 FFZ srl - www.freeforumzone.com