renHard

Utenti
 Visualizza profilo  Vedi la sua attività

  • Numero contenuti

    12

  • Iscritto

  • Ultima visita

Su renHard

  • Livello
    Iniziato

Profile Information

  • Sesso
    Maschio
  1. Gentili Amici, ho notato un forte rallentamento del browser Opera. facendo una scansione con hjt ho rilevato due strane righe: O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 Però dopo averle fixate il PC non si collega più ad internet e sono costretto a fare un ripristino del sistema. quando faccio nuovamente la scansione le due righe ricompaiono. Potreste aiutarmi ? Grazie.
  2. Pike, ho aggiornato a IE 8, mi potresti chiarire come trovare l'aggiornamento dei certificati: non li vedo disponibili (col nome certificati) tra gli aggiornamenti facoltativi. Grazie.
  3. Pike, credo che il servizio sia stato cancellato. nel log di HJT credo non compaiano più cose strane e neanche nei programmi nella scheda "Avvio" di Ccleaner. Grazie mille per l'aiuto. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 8.46.13, on 12/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\AVAST Software\Avast\AvastSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\Programmi\AVAST Software\Avast\avastUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) -- End of file - 5830 bytes
  4. La scansione di Avast non ha rilevato virus. Prima che tu scrivessi, tramite Ccleaner ho notato l'applicazione "PowerOffer" nella scheda "disinstallazione programmi" e l'ho rimosso; poi ho ripulito il sistema con tutte le varie opzioni di Ccleaner e Poweroffer sembra scomparso. HJT mi da (relativamente ai soli items O23): O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) Eseguendo le linee di comando nel prompt, mi da per PowerOfferService: "[sC] OpenService FAILED 1060: Il servizio specificato non esiste come servizio installato." e per ServiceUpd: "[sC] OpenService FAILED 1060: Il servizio specificato non esiste come servizio installato."
  5. Ora ho installato avast. Conviene che faccia qualcos'altro o dovrebbe bastare così ?
  6. ----------------- Pike, combofix continua a comportarsi come in precedenza. Tuttavia, seguendo l'indicazione di *FDAC* ho recuperato il seguente log ("log2" che spero sia utile): c:\qoobox\Quarantine c:\qoobox\Test c:\qoobox\TestC c:\qoobox\LastRun c:\qoobox\BackEnv c:\qoobox\Quarantine\Registry_backups c:\qoobox\Quarantine\catchme.log c:\qoobox\Quarantine\C c:\qoobox\Quarantine\Registry_backups cpip.reg c:\qoobox\Quarantine\C\Documents and Settings c:\qoobox\Quarantine\C\WINDOWS c:\qoobox\Quarantine\C\Documents and Settings\marinò c:\qoobox\Quarantine\C\Documents and Settings\ADMIN c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu_nav.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\dbbwu_navps.dat.vir c:\qoobox\Quarantine\C\Documents and Settings\ADMIN\WINDOWS c:\qoobox\Quarantine\C\WINDOWS\IsUn0410.exe.vir c:\qoobox\Quarantine\C\WINDOWS\unin0410.exe.vir c:\qoobox\Quarantine\C\WINDOWS\_WindowsUpdate_.log.zip c:\qoobox\LastRun\Gateway c:\qoobox\BackEnv\Profiles.Folder.dat c:\qoobox\BackEnv\Templates.folder.dat c:\qoobox\BackEnv\Personal.folder.dat c:\qoobox\BackEnv\LocalSettings.folder.dat c:\qoobox\BackEnv\Programs.folder.dat c:\qoobox\BackEnv\Cache.folder.dat c:\qoobox\BackEnv\StartMenu.folder.dat c:\qoobox\BackEnv\Desktop.folder.dat c:\qoobox\BackEnv\Favorites.folder.dat c:\qoobox\BackEnv\Pictures.folder.dat c:\qoobox\BackEnv\NetHood.folder.dat c:\qoobox\BackEnv\Recent.folder.dat c:\qoobox\BackEnv\SendTo.folder.dat c:\qoobox\BackEnv\History.folder.dat c:\qoobox\BackEnv\Music.folder.dat c:\qoobox\BackEnv\Profiles.Folder.folder.dat c:\qoobox\BackEnv\AppData.folder.dat c:\qoobox\BackEnv\LocalAppData.folder.dat c:\qoobox\BackEnv\StartUp.folder.dat c:\qoobox\BackEnv\Cookies.folder.dat c:\qoobox\BackEnv\PrintHood.folder.dat c:\qoobox\BackEnv\SysPath.dat c:\qoobox\BackEnv\SetPath.bat c:\qoobox\BackEnv\VikPev00 Inoltre, ecco l'ultimo log di HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12.27.37, on 11/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ati2sgag.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://it.yahoo.com"]http://it.yahoo.com[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://go.microsoft.com/fwlink/?LinkId=74005"]http://go.microsoft....k/?LinkId=74005[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - [url="http://quickscan.bitdefender.com/qsax/qsax.cab"]http://quickscan.bit...m/qsax/qsax.cab[/url] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url="http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290"]http://update.micros...b?1237209365290[/url] O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - [url="http://download.eset.com/special/eos/OnlineScanner.cab"]http://download.eset...lineScanner.cab[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab"]http://fpdownload2.m...ash/swflash.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) -- End of file - 4591 bytes Ho provato a fixare, più volte, le voci O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLite\viritsvc.exe (file missing) ma ogni volta che rifaccio la scansione con HJT, ricompaiono; anche la voce relativa a virit, nonostante l'abbia disinstallato ?!?
  7. Pike, non credo di avere un mail server (a meno che non lo siano Thunderbird ed Outlook 2007); ho fixato le voci indicate con HJT (ho notato una voce strana "O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe" è da fixare anche quella o non da problemi?); ecco il log di HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 9.07.40, on 11/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\VEXPLite\viritsvc.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\VEXPLite\MONLITE.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe -- End of file - 4513 bytes Per quel che riguarda Combofix, ho sempre il problema che non riavvia in automatico il PC: nella sua finestra scrive (sul fondo c'è il desktop con le icone scomparse): "completato fino a stage-50 Eliminazione Files: C:\WINDOWS\WindowsUpdate.log Eliminazione Cartelle: C:\Documents and Settings \ADMIN \ WINDOWS" poi la schermata di ComboFix si ferma e devo chiuderla manualmente, dopo aver riavviato il sistema, vado a cercare il file di log in ma trovo in C:, al posto del file ComboFix.txt una cartella di nome "ComboFix", con l'icona del monitor del PC che, se cliccata, visualizza il contenuto della cartella "Risorse del Computer" e non il file di log cercato !?! Infine, non ricordo di aver settato OVH come server DNS. Ciao.
  8. *FDAC*, --------------- FDAC, ho cercato di usare combofix ma il programma resta sulla schermata blu e devo riavviare io il PC; quando vado a cercare il file di log in txt trovo, in C:, al posto del file txt, una cartella di nome "ComboFix", con l'icona del monitor del PC che, se cliccata, visualizza il contenuto della cartella "Risorse del Computer" e non il file di log cercato.
  9. Pike, ecco il log, grazie: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14.19.28, on 10/09/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17110) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\VEXPLite\viritsvc.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe C:\VEXPLite\MONLITE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe C:\Programmi\Mozilla Thunderbird hunderbird.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [Popup Calendar Lite] C:\Programmi\Alastria Software\Popup Calendar Lite\PopupCalendarLite.exe O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE O4 - HKLM\..\Run: [PosService] C:\Documents and Settings\All Users\Documenti\AppData\PoApp\PLauncher.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office Outlook 2007.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com O15 - Trusted Zone: http://*.rising.com.cn O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237209365290 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{886A2BCC-1E6A-4800-B3EC-71D993B267A0}: NameServer = 176.31.229.24,176.31.229.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB2DEE2-4ADE-4E22-AE04-42BDF8947134}: NameServer = 176.31.229.24,176.31.229.25 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\PosService\Pos.exe O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Documents and Settings\marinò\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe -- End of file - 5299 bytes
  10. Pike, di seguito il log, MB non ha trovato niente. ho provato anche con un altro anti-malware (Windows-KB890830-V4.11) ancora niente. Ma nella scheda programmi in Avvio automatico di Ccleaner, risulta ancora PLauncher.exe. Ciao. Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Versione database: v2012.09.10.01 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 7.0.5730.11 marinò :: TRAPANI [amministratore] 10/09/2012 9.02.19 mbam-log-2012-09-10 (09-02-19).txt Tipo di scansione: Scansione completa (C:\|F:\|) Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM Opzioni di scansione disattivate: P2P Elementi esaminati: 338838 Tempo impiegato: 23 minuti, 32 secondi Processi rilevati in memoria: 0 (non sono stati rilevati elementi nocivi) Moduli di memoria rilevati: 0 (non sono stati rilevati elementi nocivi) Chiavi di registro rilevate: 0 (non sono stati rilevati elementi nocivi) Valori di registro rilevati: 0 (non sono stati rilevati elementi nocivi) Voci rilevate nei dati di registro: 0 (non sono stati rilevati elementi nocivi) Cartelle rilevate: 0 (non sono stati rilevati elementi nocivi) File rilevati: 0 (non sono stati rilevati elementi nocivi) (fine)
  11. Salve a tutti, ho anch'io problemi con PosService: sono riuscito ad eliminare la cartella AppData che contiene PLauncher.exe ma verificando con ccleaner, i programmi attivi in avvio, continuo ad avere attiva la voce "HKLM:Run - PosService - C:\Documents and Settings\All Users\Documenti\AppData\PopApp\PLauncher.exe". Anche se la cancello, ad ogni riavvio ricompare. Si può fare qualcosa per cancellarla definitivamente ? E per prevenire tali infestazioni cosa suggerite ? (ho provato ad usare Combofix, ma in C: al posto del file txt, compare una cartella "Combofix" con la leggenda popu​p "visualizza le unità disco e l'hardware connesso al computer.") Grazie mille.

  12. Posservices Exe Mi Aiutate Ad Eliminarlo

    renHard ha risposto a francesco59 nel forum HiJackThis - Posta qui i Log

    Salve a tutti, ho anch'io problemi con PosService: sono riuscito ad eliminare la cartella AppData che contiene PLauncher.exe ma verificando con ccleaner, i programmi attivi in avvio, continuo ad avere la voce "HKLM:Run - PosService - C:\Documents and Settings\All Users\Documenti\AppData\PopApp\PLauncher.exe". Anche se la cancello, ad ogni riavvio ricompare. Si può fare qualcosa per cancellarla definitivamente ? E per prevenire tali infestazioni cosa suggerite ? Grazie mille.