Ho um grosso problema Ho beccato un virus... Avira inizialmente ha bloccato l accesso, dopo una scansione, sono riuscito a togliere due virus rilevati Poi, Mi sono accorto che spybot s&d e malware bytes non si avviano, e in più non mi fa accedere ai relativi siti web Inoltre non riesco neanche ad accedere ad alcuni siti, come questo o altri forum, non riuscendo a contattare i server... Come posso riuscire a risolvere il problema? Grazie
Si, identica cosa che con modalità normale... Un secondo di clessidra e poi nulla... Honfatto una scansione con ad aware, che parte, ha trovato qualche problema, ma nulla da fare
Per verificarlo controlla se impostando nelle opzioni cartella "Visualizza cartelle e file nascosti" l'opzione torna com'era prima.
Allora dovresti poter escludere il Bagle... Ce la fai a scaricare questo? http://www.hijackthis.de/downloads/HJTInstall.exe Se si installalo, fai uno scan e posta il log.
Logfile of HijackThis v1.99.1 Scan saved at 17.23.06, on 19/09/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Avira\AntiVir Desktop\sched.exe C:\Programmi\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\Java\jre6\bin\jusched.exe C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\UsbBoost\TurboHddUsb.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programmi\Bonjour\mDNSResponder.exe C:\Programmi\OpenOffice.org 3\program\soffice.exe C:\Programmi\OpenOffice.org 3\program\soffice.bin C:\Programmi\Alice ti aiuta\bin\mpbtn.exe C:\Programmi\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Avira\AntiVir Desktop\avmailc.exe C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe D:\Desktop\HijackThis.exe C:\Programmi\iPod\bin\iPodService.exe C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\dumprep.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [usbBoost] C:\Programmi\UsbBoost\TurboHddUsb.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe" O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\programmi\avira\antivir desktop\avsda.dll O10 - Unknown file in Winsock LSP: c:\programmi\avira\antivir desktop\avsda.dll O10 - Unknown file in Winsock LSP: c:\programmi\avira\antivir desktop\avsda.dll O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234733529406 O17 - HKLM\System\CCS\Services\Tcpip\..\{6941E994-5981-44F4-A2B1-EFAA989B97B0}: NameServer = 93.188.162.81,93.188.161.221 O17 - HKLM\System\CCS\Services\Tcpip\..\{8A3BC455-8925-4A91-9FC3-D84AB0FEABC9}: NameServer = 93.188.162.81,93.188.161.221 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.81,93.188.161.221 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.81,93.188.161.221 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: *Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe O23 - Service: Servizio di Google Update (gupdate1c98fb0a0c589aa) (gupdate1c98fb0a0c589aa) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
Mi sembrano sospetti, quegli ip portano in Ucraina... Con Hijackthis dovresti poterli fixare selezionandoli... Più di così non posso fare, ma Bluemarine ha già segnalato il topic a Scrondo, che facendolo di mestiere sicuramente ti può aiutare. :wink:
Grazie Fla! Ho fixato quei 4, adesso mi fa collegare ai server di malwarebytes e spybot... Però i programmi continuano a non avviarsi, anche reinstallandoli...
Di nulla. /emoticons/wink@2x.png 2x" width="20" height="20"> Sì, quelli erano solo gli ip a cui ti reindirizzavano. Non sono sicuro del resto quindi non ti consiglio nulla, non essendo il mio pc non vorrei farti fare più casino io di quello che ti hanno già fatto i malware. Comunque dovrebbe connettersi Scrondo e sicuramente saprà aiutarti. :wink:
Scarica Combofix sul desktop Tutorial devi rinominare il file prima di salvarlo sul desktop in abc.exe (per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop) start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese: "%userprofile%\desktop\abc.exe" /killall Premi OK (se usi vista start > tutti i programmi accessori > esegui) se tutto va bene parte il programma che potrebbe impiegare molto attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.
Ecco il report ComboFix 10-09-17.04 - Nico 19/09/2010 19.24.27.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1022.626 [GMT 2:00] Eseguito da: c:\documents and settings\Nico\desktop\abc.exe Opzioni usate :: /killall AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00} ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !! . ((((((((((((((((((((((((((((((((((((( Altre eliminazioni ))))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents La copia infetta di c:\windows\system32\drivers\ftdisk.sys è stata trovata e disinfettata ipristinata copia da - Kitty had a snack :P /emoticons/tongue@2x.png 2x" width="20" height="20"> . ((((((((((((((((((((((((( Files Creati Da 2010-08-19 al 2010-09-19 ))))))))))))))))))))))))))))))))))) . 2010-09-19 16:18 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2010-09-19 16:16 . 2010-09-19 16:16 -------- d-----w- c:\programmi\Panda Security 2010-09-19 16:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-19 16:06 . 2010-09-19 16:06 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware 2010-09-19 16:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-19 13:55 . 2010-09-19 13:55 -------- d-----w- c:\documents and settings\Nico\Dati applicazioni\Lavasoft 2010-09-19 13:33 . 2010-09-19 13:33 -------- d-----w- c:\documents and settings\Nico\Dati applicazioni\Avira 2010-09-19 12:41 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-09-19 12:41 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2010-09-19 12:41 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2010-09-19 12:40 . 2010-09-19 12:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira 2010-09-19 12:40 . 2010-09-19 12:40 -------- d-----w- c:\programmi\Avira 2010-08-28 19:18 . 2010-08-28 19:18 -------- d-----w- c:\programmi\AbleRAWer 2010-08-28 19:07 . 2010-08-28 19:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\AVS4YOU 2010-08-28 19:07 . 2010-08-28 19:07 -------- d-----w- c:\documents and settings\Nico\Dati applicazioni\AVS4YOU 2010-08-28 19:07 . 2008-11-24 10:00 974848 ----a-w- c:\windows\system32\mfc70.dll 2010-08-28 19:07 . 2008-11-24 10:00 487424 ----a-w- c:\windows\system32\msvcp70.dll 2010-08-28 19:07 . 2008-11-24 10:00 1700352 ----a-w- c:\windows\system32\GdiPlus.dll 2010-08-28 19:07 . 2008-11-24 10:00 24576 ----a-w- c:\windows\system32\msxml3a.dll 2010-08-28 19:07 . 2010-08-28 19:15 -------- d-----w- c:\programmi\File comuni\AVSMedia 2010-08-28 19:07 . 2010-08-28 19:15 -------- d-----w- c:\programmi\AVS4YOU 2010-08-21 11:23 . 2010-08-21 11:23 737280 ----a-w- c:\windows\iun6002.exe 2010-08-21 11:23 . 2010-08-21 11:23 -------- d-----w- c:\windows\C6 Messenger 2010-08-21 11:23 . 2010-08-21 11:27 -------- d-----w- c:\programmi\C6 Messenger . (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-19 16:06 . 2009-02-15 20:50 -------- d-----w- c:\programmi\Spybot - Search & Destroy 2010-09-19 15:04 . 2009-02-15 20:50 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP 2010-09-13 18:31 . 2009-02-16 09:15 -------- d-----w- c:\programmi\CCleaner 2010-09-13 17:33 . 2009-02-15 20:50 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy 2010-09-08 18:44 . 2009-02-15 21:15 50632 ----a-w- c:\documents and settings\Nico\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT 2010-08-07 12:20 . 2010-08-07 12:20 -------- d-----w- c:\programmi\Guitar Pro 5 2010-08-07 11:22 . 2009-09-18 21:14 -------- d-----w- c:\programmi\eMule 2010-08-07 11:21 . 2009-02-28 10:02 -------- d-----w- c:\programmi\Free Download Manager 2010-07-29 21:06 . 2010-07-29 21:02 -------- d-----w- c:\documents and settings\Nico\Dati applicazioni\Guitar Pro 6 2010-07-29 21:02 . 2010-07-29 21:02 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Guitar Pro 6 2010-07-14 22:16 . 2006-03-02 12:00 92858 ----a-w- c:\windows\system32\perfc010.dat 2010-07-14 22:16 . 2006-03-02 12:00 512902 ----a-w- c:\windows\system32\perfh010.dat . ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* i valori vuoti & legittimi/default non sono visualizzati. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952] "RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248] "SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-03-10 98394] "SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-03-10 688218] "NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-06-14 148888] "Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592] "UsbBoost"="c:\programmi\UsbBoost\TurboHddUsb.exe" [2009-08-19 3788800] "QuickTime Task"="c:\programmi\K-Lite Codec Pack\QuickTime\QTTask.exe" [2010-03-18 421888] "iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2010-06-15 141624] "avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] c:\documents and settings\Nico\Menu Avvio\Programmi\Esecuzione automatica\ OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\ Adobe Gamma Loader.exe.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2009-3-8 113664] Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2009-2-17 217088] Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programmi\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programmi\\UltraVNC\\vncviewer.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\eMule\\emule.exe"= "c:\\Programmi\\Messenger\\msmsgs.exe"= "c:\\Programmi\\eMule\\emule.exe"= "c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programmi\\Bonjour\\mDNSResponder.exe"= "c:\\Programmi\\iTunes\\iTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5807:TCP"= 5807:TCP:vnc5807 "5808:TCP"= 5808:TCP:vnc5808 R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27/02/2006 16.00.50 34880] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20/02/2006 17.01.06 29056] R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [19/09/2010 18.18.41 28552] R1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [19/08/2009 21.16.07 7936] R1 M9207;LifeView M9207 USB Digital TV BOX;c:\windows\system32\drivers\M9207BDA.sys [15/02/2009 22.18.52 54400] R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programmi\Avira\AntiVir Desktop\avmailc.exe [19/09/2010 14.41.00 194817] R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programmi\Avira\AntiVir Desktop\sched.exe [19/09/2010 14.41.01 108289] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programmi\Avira\AntiVir Desktop\avwebgrd.exe [19/09/2010 14.41.01 434945] R3 CIR;Hid Device;c:\windows\system32\drivers\CIR.sys [15/02/2009 22.11.00 5120] R3 kbd;Keyboard;c:\windows\system32\drivers\kbd.sys [15/02/2009 22.11.00 21504] S2 gupdate1c98fb0a0c589aa;Servizio di Google Update (gupdate1c98fb0a0c589aa);c:\programmi\Google\Update\GoogleUpdate.exe [15/02/2009 23.01.51 133104] S3 FNETTBOH;FNETTBOH;c:\windows\system32\drivers\FNETTBOH.SYS [19/08/2009 21.16.06 23680] . Contenuto della cartella 'Scheduled Tasks' 2010-09-01 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programmi\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50] 2010-09-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programmi\Google\Update\GoogleUpdate.exe [2009-02-15 21:01] 2010-09-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programmi\Google\Update\GoogleUpdate.exe [2009-02-15 21:01] . . ------- Scansione supplementare ------- . uStart Page = hxxp://www.google.it/ uInternet Settings,ProxyOverride = 127.0.0.1;*.local IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 LSP: c:\programmi\Avira\AntiVir Desktop\avsda.dll DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab FF - ProfilePath - c:\documents and settings\Nico\Dati applicazioni\Mozilla\Firefox\Profiles\mbarkmfw.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (it) FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/ FF - plugin: c:\documents and settings\Nico\Dati applicazioni\Facebook\npfbplugin_1_0_3.dll FF - plugin: c:\programmi\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programmi\Google\Update\1.2.183.29\npGoogleOneClick8.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin2.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin3.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin4.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin5.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin6.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin7.dll FF - plugin: c:\programmi\K-Lite Codec Pack\QuickTime\Plugins\npqtplugin8.dll FF - plugin: c:\programmi\K-Lite Codec Pack\real\browser\plugins\nppl3260.dll FF - plugin: c:\programmi\K-Lite Codec Pack\real\browser\plugins\nprpjplug.dll ---- FIREFOX POLICIES ---- c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-09-19 19:31 Windows 5.1.2600 Service Pack 3 NTFS scansione processi nascosti ... scansione entrate autostart nascoste ... Scansione files nascosti ... Scansione completata con successo Files nascosti: 0 ************************************************************************** . --------------------- Dlls caricate dai processi in esecuzione --------------------- - - - - - - - > 'winlogon.exe'(856) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(912) c:\programmi\Avira\AntiVir Desktop\avsda.dll - - - - - - - > 'explorer.exe'(576) c:\progra~1\ALICET~1\SMARTB~1\SBHook.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\ftpxext.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Altri processi in esecuzione ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programmi\Avira\AntiVir Desktop\avguard.exe c:\programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\programmi\Bonjour\mDNSResponder.exe c:\programmi\Java\jre6\bin\jqs.exe c:\windows\system32\o2flash.exe c:\windows\system32\wscntfy.exe c:\windows\RTHDCPL.EXE c:\windows\system32\rundll32.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programmi\OpenOffice.org 3\program\soffice.exe c:\programmi\File comuni\Nero\Lib\NMIndexingService.exe c:\programmi\OpenOffice.org 3\program\soffice.bin c:\programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe c:\programmi\iPod\bin\iPodService.exe c:\programmi\Alice ti aiuta\bin\mpbtn.exe . ************************************************************************** . Ora fine scansione: 2010-09-19 19:36:50 - Il pc è stato riavviato ComboFix-quarantined-files.txt 2010-09-19 17:36 Pre-Run: 24.501.669.888 byte disponibili Post-Run: 24.811.794.432 byte disponibili - - End Of File - - F65C0D75EE074F6FD487F0E04AB4AC21
E' ripartito tutto... prima avevo provato a scaricare combofix, ma neanche questo riuscivo a farlo partire... Intanto grazie per il grandissimo aiuto, sono in debito con tutti voi, ora vedo di fare qualche scansione... :wink:
Allora... Da quanto ho letto ti hanno già aiutato parecchio. Se hai già fatto girare combofix dovresti aver recuperato più o meno le funzionalità della macchina... Io farei anche uan scansione con "elibagla", quella schifezza ha un sacco di varianti, lo trovi qui: http://www.zonavirus.com/descargas/elibagla.asp Però vediamo di procedere con ordine e di fare pulizia: -Cancella le cache dei browser che usi, tutti i file, se non te ne fa eliminare qualcuno, scarica unlocker e usa quello (http://ccollomb.free.fr/unlocker/) -Se non l'hai ancora fatto disattiva il ripristino di sistema e cancella tutti i punti di ripristino. -Ripeti la scansione con Combofix -Riavvia in modalità provvisoria e fai girare il tuo antivirus -Assicurati di esserti ripulito Ora ripristiniamo la piena funzionalità riattivando tutti i servizi che sono stati corrotti: Questo è da fare solo una volta eliminata l'infezione: clicca su start -> esegui -> digita services.msc (invio) per aprire la scheda dei servizi clicca su Nome sopra la lista dei servizi in modo da averli ordinati alfabeticamente, se non lo sono già cerca i servizi che elencherò più sotto e su ognuno di loro click destro -> proprietà -> tipo di avvio imposta automatico -> clicca su applica clicca su avvia e poi su OK una volta reimpostati tutti segui più in basso per ripristinare manualmente Zero configuration reti senza fili, se ti interessa il wireless, altrimenti riavvia il pc Elenco servizi da rimettere in avvio automatico se non lo sono già: Aggiornamenti automatici Avvisi Centro sicurezza P.C. Connessioni di rete Zero Configuration reti senza fili Windows Firewall/ Condivisione connessione Internet (ICS) Per ripristinare Zero configuration reti senza fili bisogna ripristinare due chiavi nel registro di sistema relative ai servizi Ndisuio e RPC. Si possono sistemare manualmente con regedit ma viene più comodo creare un file .reg contenente le stringhe da ripristinare, che andrà poi ad aggiungersi al registro di sistema in automatico. Di seguito elencherò un codice per Win XP devi copiare tutto il contenuto del codice, nel blocco note e fare salva, invece di file di testo seleziona tutti i file, e chiamalo fix.reg oppure salvalo normalmente in txt e poi cambia l'estensione in .reg A questo punto click destro su fix.reg e aggiungi. Riavvia il pc per rendere effettive le modifiche Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc] "UuidSequenceNumber"=dword:0cdae01e [HKEY_CURRENT_USER\Session\Information] "ProgramCount"=dword:00000004 Se hai altri problemi causati da qualche variante (quello che ti è stato indicato è abbastanza generico..) posta il problema e vediamo di metterci una pezza..
