renHard
Utenti-
Numero contenuti
12 -
Iscritto
-
Ultima visita
Su renHard
-
Livello
Iniziato
Profile Information
-
Sesso
Maschio
-
Gentili Amici, ho notato un forte rallentamento del browser Opera. facendo una scansione con hjt ho rilevato due strane righe: O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 Però dopo averle fixate il PC non si collega più ad internet e sono costretto a fare un ripristino del sistema. quando faccio nuovamente la scansione le due righe ricompaiono. Potreste aiutarmi ? Grazie.
-
Pike, ho aggiornato a IE 8, mi potresti chiarire come trovare l'aggiornamento dei certificati: non li vedo disponibili (col nome certificati) tra gli aggiornamenti facoltativi. Grazie.
-
Pike, credo che il servizio sia stato cancellato. nel log di HJT credo non compaiano più cose strane e neanche nei programmi nella scheda "Avvio" di Ccleaner. Grazie mille per l'aiuto. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 8.46.13, on 12/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\AVAST Software\Avast\AvastSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\Programmi\AVAST Software\Avast\avastUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) -- End of file - 5830 bytes
-
La scansione di Avast non ha rilevato virus. Prima che tu scrivessi, tramite Ccleaner ho notato l'applicazione "PowerOffer" nella scheda "disinstallazione programmi" e l'ho rimosso; poi ho ripulito il sistema con tutte le varie opzioni di Ccleaner e Poweroffer sembra scomparso. HJT mi da (relativamente ai soli items O23): O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) Eseguendo le linee di comando nel prompt, mi da per PowerOfferService: "[sC] OpenService FAILED 1060: Il servizio specificato non esiste come servizio installato." e per ServiceUpd: "[sC] OpenService FAILED 1060: Il servizio specificato non esiste come servizio installato."
-
Ora ho installato avast. Conviene che faccia qualcos'altro o dovrebbe bastare così ?
-
----------------- Pike, combofix continua a comportarsi come in precedenza. Tuttavia, seguendo l'indicazione di *FDAC* ho recuperato il seguente log ("log2" che spero sia utile): c:\qoobox\Quarantine c:\qoobox\Test c:\qoobox\TestC c:\qoobox\LastRun c:\qoobox\BackEnv c:\qoobox\Quarantine\Registry_backups c:\qoobox\Quarantine\catchme.log c:\qoobox\Quarantine\C c:\qoobox\Quarantine\Registry_backups cpip.reg c:\qoobox\Quarantine\C\Documents and Settings c:\qoobox\Quarantine\C\WINDOWS c:\qoobox\Quarantine\C\Documents and Settings\marinò c:\qoobox\Quarantine\C\Documents and Settings\ADMIN c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu_nav.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu_navps.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\ADMIN\WINDOWS c:\qoobox\Quarantine\C\WINDOWS\IsUn0410.exe.vir c:\qoobox\Quarantine\C\WINDOWS\unin0410.exe.vir c:\qoobox\Quarantine\C\WINDOWS\_WindowsUpdate_.log.zip c:\qoobox\LastRun\Gateway c:\qoobox\BackEnv\Profiles.Folder.dat c:\qoobox\BackEnv\Templates.folder.dat c:\qoobox\BackEnv\Personal.folder.dat c:\qoobox\BackEnv\LocalSettings.folder.dat c:\qoobox\BackEnv\Programs.folder.dat c:\qoobox\BackEnv\Cache.folder.dat c:\qoobox\BackEnv\StartMenu.folder.dat c:\qoobox\BackEnv\Desktop.folder.dat c:\qoobox\BackEnv\Favorites.folder.dat c:\qoobox\BackEnv\Pictures.folder.dat c:\qoobox\BackEnv\NetHood.folder.dat c:\qoobox\BackEnv\Recent.folder.dat c:\qoobox\BackEnv\SendTo.folder.dat c:\qoobox\BackEnv\History.folder.dat c:\qoobox\BackEnv\Music.folder.dat c:\qoobox\BackEnv\Profiles.Folder.folder.dat c:\qoobox\BackEnv\AppData.folder.dat c:\qoobox\BackEnv\LocalAppData.folder.dat c:\qoobox\BackEnv\StartUp.folder.dat c:\qoobox\BackEnv\Cookies.folder.dat c:\qoobox\BackEnv\PrintHood.folder.dat c:\qoobox\BackEnv\SysPath.dat c:\qoobox\BackEnv\SetPath.bat c:\qoobox\BackEnv\VikPev00 Inoltre, ecco l'ultimo log di HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12.27.37, on 11/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ati2sgag.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://it.yahoo.com"]http://it.yahoo.com[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://go.microsoft.com/fwlink/?LinkId=74005"]http://go.microsoft....k/?LinkId=74005[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - [url="http://quickscan.bitdefender.com/qsax/qsax.cab"]http://quickscan.bit...m/qsax/qsax.cab[/url] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url="http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290"]http://update.micros...b?1237209365290[/url] O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - [url="http://download.eset.com/special/eos/OnlineScanner.cab"]http://download.eset...lineScanner.cab[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab"]http://fpdownload2.m...ash/swflash.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) -- End of file - 4591 bytes Ho provato a fixare, più volte, le voci O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) ma ogni volta che rifaccio la scansione con HJT, ricompaiono; anche la voce relativa a virit, nonostante l'abbia disinstallato ?!?
-
Pike, non credo di avere un mail server (a meno che non lo siano Thunderbird ed Outlook 2007); ho fixato le voci indicate con HJT (ho notato una voce strana "O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe" è da fixare anche quella o non da problemi?); ecco il log di HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 9.07.40, on 11/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\VEXPLite\viritsvc.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\VEXPLite\MONLITE.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe -- End of file - 4513 bytes Per quel che riguarda Combofix, ho sempre il problema che non riavvia in automatico il PC: nella sua finestra scrive (sul fondo c'è il desktop con le icone scomparse): "completato fino a stage-50 Eliminazione Files: C:\WINDOWS\WindowsUpdate.log Eliminazione Cartelle: C:\Documents and Settings \ADMIN \ WINDOWS" poi la schermata di ComboFix si ferma e devo chiuderla manualmente, dopo aver riavviato il sistema, vado a cercare il file di log in ma trovo in C:, al posto del file ComboFix.txt una cartella di nome "ComboFix", con l'icona del monitor del PC che, se cliccata, visualizza il contenuto della cartella "Risorse del Computer" e non il file di log cercato !?! Infine, non ricordo di aver settato OVH come server DNS. Ciao.
-
*FDAC*, --------------- FDAC, ho cercato di usare combofix ma il programma resta sulla schermata blu e devo riavviare io il PC; quando vado a cercare il file di log in txt trovo, in C:, al posto del file txt, una cartella di nome "ComboFix", con l'icona del monitor del PC che, se cliccata, visualizza il contenuto della cartella "Risorse del Computer" e non il file di log cercato.
-
Pike, ecco il log, grazie: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14.19.28, on 10/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\VEXPLite\viritsvc.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\VEXPLite\MONLITE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Programmi\Mozilla Thunderbird hunderbird.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O15 - Trusted Zone: http://*.rising.com.cn O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe -- End of file - 5299 bytes
-
Pike, di seguito il log, MB non ha trovato niente. ho provato anche con un altro anti-malware (Windows-KB890830-V4.11) ancora niente. Ma nella scheda programmi in Avvio automatico di Ccleaner, risulta ancora PLauncher.exe. Ciao. Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Versione database: v2012.09.10.01 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 7.0.5730.11 marinò :: TRAPANI [amministratore] 10/09/2012 9.02.19 mbam-log-2012-09-10 (09-02-19).txt Tipo di scansione: Scansione completa (C:\|F:\|) Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM Opzioni di scansione disattivate: P2P Elementi esaminati: 338838 Tempo impiegato: 23 minuti, 32 secondi Processi rilevati in memoria: 0 (non sono stati rilevati elementi nocivi) Moduli di memoria rilevati: 0 (non sono stati rilevati elementi nocivi) Chiavi di registro rilevate: 0 (non sono stati rilevati elementi nocivi) Valori di registro rilevati: 0 (non sono stati rilevati elementi nocivi) Voci rilevate nei dati di registro: 0 (non sono stati rilevati elementi nocivi) Cartelle rilevate: 0 (non sono stati rilevati elementi nocivi) File rilevati: 0 (non sono stati rilevati elementi nocivi) (fine)
-
Salve a tutti, ho anch'io problemi con PosService: sono riuscito ad eliminare la cartella AppData che contiene PLauncher.exe ma verificando con ccleaner, i programmi attivi in avvio, continuo ad avere attiva la voce "HKLM:Run - PosService - C:\Documents and Settings\All Users\Documenti\AppData\PopApp\PLauncher.exe". Anche se la cancello, ad ogni riavvio ricompare. Si può fare qualcosa per cancellarla definitivamente ? E per prevenire tali infestazioni cosa suggerite ? (ho provato ad usare Combofix, ma in C: al posto del file txt, compare una cartella "Combofix" con la leggenda popup "visualizza le unità disco e l'hardware connesso al computer.") Grazie mille.
-
Salve a tutti, ho anch'io problemi con PosService: sono riuscito ad eliminare la cartella AppData che contiene PLauncher.exe ma verificando con ccleaner, i programmi attivi in avvio, continuo ad avere la voce "HKLM:Run - PosService - C:\Documents and Settings\All Users\Documenti\AppData\PopApp\PLauncher.exe". Anche se la cancello, ad ogni riavvio ricompare. Si può fare qualcosa per cancellarla definitivamente ? E per prevenire tali infestazioni cosa suggerite ? Grazie mille.