Accedi per seguire   
Seguaci 0
Bisneff

Problema Con Ctfmon

11 messaggi in questa discussione

Inviato (modificato)

Allora, da un po' di tempo ho sul pc in C:/ la cartella "Recycler" che si può eliminare solo se lo si fa senza farla passare per il cestino, ma che ricompare a ogni riavvio.

Dovrebbe essere una Backdoor da quello che ho capito, un potenziale problema con cui non ho avuto modo di litigare.

Comunque gironzolando con Glary Utiliti mi sono accorto di qualcosa che non funziona negli autorun del mio pc.

2aihlwn.jpg

Come si vede dallo screen, nei processi che partono in autorun ci sono 2 CTFMON.exe, solo uno in magliuscolo ed uno in minuscolo. So per certo che uno è di windows... ma l'altro?

Avevo sentito che questo benedetto Recycler virus (che poi si contaggia previa pennette USB) viaggia sul processo CTFMON, e che è difficile da togliere perchè danneggia il Sistem Volume Information, in modo che al riavvio si rigenera.

Ho fatto uno scan con HJT in modo che qualcuno mi dica se c'è un processo da abbattere per che magati è quello che nasce con il CTFMON sbagliato. Spero in una risposta.

Se poi riuscite anche a dirmi come liberarmi dal recycler (ho provato avenger ma torno lo stesso) ve ne sarei grati.

Salut e grazie anticipati

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.35.24, on 21/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Samsung\EmoDio\SMSTray.exe
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOCUME~1\Bisneff_\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Glary Utilities\Integrator.exe
C:\Programmi\Glary Utilities\startup.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/defaults/sp/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programmi\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47DED19C-6BDA-45BC-927C-FB3D952D02E8}: NameServer = 217.12.181.97,151.1.2.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) -   - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11144 bytes

Modificato da Bisneff

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi scusate lo zelo e l'up, ma ogni volta che posto finisce che non mi aiuta nessuno... please qualcuno si fa sentire? :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programmi\AskSearch\bin\DefaultSearch.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [sMSTray] C:\Programmi\Samsung\EmoDio\SMSTray.exe

O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe"

Scegli quale antivirus tenere tra Avast e Norton

Esegui combofix ed allega il report.

http://www.wininizio.it/forum/index.php?showtopic=98188

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

non preoccuparti, e soprattutto non fare mosse avventate. Si sa, l'estate è anche tempo di ferie, oltre che di caldo. Abbi pazienza e qualche tecnico qualificato ti darà una risposta più soddisfacente di questa mia :)

P.S. se ti può consolare ho verificato con quickstartup e anche io ho 2 ctfmon in elenco. quello in minuscolo, che sta nella system32 (iniziale in minuscolo) l'ho disabilitato dallo startup, e non ho particolari problemi. Uso Avira Antivir personal e Comodo Firewall, come protezione.

P.P.S. postato assieme a Duca Bianco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Duca norton l'ho disinstallato tempo fa, ora tengo solo avast... mi pare strana sta cosa...

Poi non capisco perchè mi dici di fixare anche messanger e emodio per esempio... perchè sono dannosi?

Modificato da Bisneff

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Duca norton l'ho disinstallato tempo fa, ora tengo solo avast... mi pare strana sta cosa...

I servizi ci sono tutti, fixa anche queste voci e poi usa il removal tool per Norton

http://service1.symantec.com/support/inter...050407160511924

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

Poi non capisco perchè mi dici di fixare anche messanger e emodio per esempio... perchè sono dannosi?

No, non sono dannosi, ti consiglio di fixare per rendere più veloce il pc in avvio, i programmi continueranno a funzionare.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Tolto norto e runnato combofix.

A lei duca.

ComboFix 09-07-20.05 - Bisneff_ 22/07/2009  0.06.39.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.39.1040.18.1014.538 [GMT 2:00]
Eseguito da: c:\documents and settings\Bisneff_\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090721-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\AskSearch\bin\DefaultSearch.dll
c:\windows\Installer\c048d.msi
c:\windows\system32\muzapp.exe
c:\windows\system32\winitn.dll

.
(((((((((((((((((((((((((   Files Creati Da 2009-06-21 al 2009-07-21  )))))))))))))))))))))))))))))))))))
.

2009-07-21 21:23 . 2009-07-21 21:23	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\NortonInstaller
2009-07-21 14:34 . 2009-07-21 21:19	--------	d-----w-	C:\HJT
2009-07-21 11:07 . 2009-07-21 11:07	--------	d-----w-	c:\documents and settings\Bisneff_\Dati applicazioni\GlarySoft
2009-07-21 11:05 . 2009-07-21 11:05	--------	d-----w-	c:\programmi\AskSearch
2009-07-21 11:05 . 2009-07-21 11:05	--------	d-----w-	c:\programmi\AskBarDis
2009-07-21 11:05 . 2009-07-21 11:05	--------	d-----w-	c:\programmi\Glary Utilities
2009-07-21 09:47 . 1998-10-06 16:57	327168	----a-w-	c:\windows\IsUn0410.exe
2009-07-19 10:24 . 2009-07-19 10:24	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Blizzard
2009-07-13 09:25 . 2009-07-13 09:25	--------	d-----w-	c:\programmi\Er Finestra
2009-07-13 09:05 . 2009-07-13 09:05	835584	----a-w-	c:\windows\system32\maae.dll
2009-07-13 09:05 . 2009-07-13 09:05	729088	----a-w-	c:\windows\system32\maad.dll
2009-07-13 09:05 . 2009-07-13 09:05	53760	----a-w-	c:\windows\system\ppacklib.dll
2009-07-13 09:05 . 2009-07-13 09:05	450560	----a-w-	c:\windows\system32\maai.dll
2009-07-13 09:05 . 2009-07-13 09:05	335872	----a-w-	c:\windows\system32\maac.dll
2009-07-13 09:05 . 2009-07-13 09:05	315392	----a-w-	c:\windows\system32\maab.dll
2009-07-13 09:05 . 2009-07-13 09:05	311296	----a-w-	c:\windows\system32\maaf.dll
2009-07-13 09:05 . 2009-07-13 09:05	196608	----a-w-	c:\windows\system32\maag.dll
2009-07-13 09:05 . 2009-07-13 09:05	1843200	----a-w-	c:\windows\system32\maaa.dll
2009-07-13 09:05 . 2009-07-13 09:05	1040384	----a-w-	c:\windows\system32\maah.dll
2009-07-13 09:05 . 2009-07-13 09:05	237568	----a-w-	c:\windows\system32\lame_enc.dll
2009-07-13 09:05 . 2002-01-05 03:40	487424	----a-w-	c:\windows\system32\msvcp70.dll
2009-06-30 10:08 . 2004-08-03 21:08	25600	----a-w-	c:\windows\system32\drivers\usbser.sys
2009-06-30 10:08 . 2004-08-03 21:08	25600	----a-w-	c:\windows\system32\dllcache\usbser.sys
2009-06-30 10:07 . 2008-03-21 11:57	14640	------w-	c:\windows\system32\spmsgXP_2k3.dll
2009-06-29 09:31 . 2009-06-29 09:31	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\MSScanAppDataDir

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-21 21:35 . 2009-02-13 16:49	2484	----a-w-	c:\windows\bthservsdp.dat
2009-07-21 21:24 . 2007-08-09 18:04	--------	d-----w-	c:\programmi\File comuni\Symantec Shared
2009-07-21 13:01 . 2009-02-04 12:27	--------	d-----w-	c:\documents and settings\Bisneff_\Dati applicazioni\uTorrent
2009-07-19 14:56 . 2009-02-04 12:26	--------	d-----w-	c:\programmi\Magic Workstation
2009-07-13 12:33 . 2009-01-28 15:29	--------	d-----w-	c:\programmi\Launch Manager
2009-06-30 10:08 . 2009-04-09 09:16	--------	d-----w-	c:\documents and settings\Bisneff_\Dati applicazioni\PC Suite
2009-06-30 10:07 . 2009-06-30 10:07	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-06-30 10:07 . 2009-06-30 10:07	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-06-20 09:00 . 2009-02-26 21:18	--------	d-----w-	c:\documents and settings\Bisneff_\Dati applicazioni\Ahead
2009-06-20 06:35 . 2007-08-09 17:55	98184	----a-w-	c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-06-16 14:53 . 2004-08-19 18:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2004-08-19 18:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-14 13:08 . 2009-06-14 13:08	1878984	----a-w-	c:\documents and settings\Bisneff_\Dati applicazioni\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-06-11 21:30 . 2007-08-10 06:56	75902	----a-w-	c:\windows\system32\perfc010.dat
2009-06-11 21:30 . 2007-08-10 06:56	451608	----a-w-	c:\windows\system32\perfh010.dat
2009-06-03 19:25 . 2004-08-19 18:00	1295872	----a-w-	c:\windows\system32\quartz.dll
2009-05-30 18:04 . 2009-05-30 18:04	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\LightScribe
2009-05-07 15:41 . 2004-08-19 18:00	346112	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:51 . 2007-04-18 12:32	662016	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:51 . 2004-08-19 18:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2004-05-06 11:11 . 2009-02-16 09:40	777	----a-w-	c:\programmi\trial_setup.ini
2004-05-06 11:11 . 2009-02-16 09:40	4289024	----a-w-	c:\programmi\trial_setup.msi
2004-05-06 11:11 . 2009-02-16 09:40	40448	----a-w-	c:\programmi\trial_setup.exe
2009-06-13 08:34 . 2009-01-28 10:49	134648	----a-w-	c:\programmi\mozilla firefox\components\brwsrcmp.dll
2006-05-03 10:06 . 2009-02-26 22:04	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-02-26 22:04	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-02-26 22:04	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="c:\programmi\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2007-04-21 20480]
"IAAnotif"="c:\programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-04-09 138008]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 208896]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 475136]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 342528]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SMSTray"="c:\programmi\Samsung\EmoDio\SMSTray.exe" [2009-02-18 484888]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-19 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2009-1-28 45056]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe"
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\NexonEU\\NGM\\NGM.exe"=
"c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"c:\\Nexon\\Combat Arms EU\\NMService.exe"=
"c:\\Programmi\\Magic Workstation\\MWSPlay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"46521:TCP"= 46521:TCP:TorrentTCP
"46521:UDP"= 46521:UDP:TorrentUDP
"22588:TCP"= 22588:TCP:Emule TCP
"29705:UDP"= 29705:UDP:Emule UDP

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [11/03/2009 17.49.47 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/03/2009 17.49.47 20560]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [14/04/2009 16.18.37 33792]
.
Contenuto della cartella 'Scheduled Tasks'

2009-06-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-07-21 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2009-07-21 14:55]

2009-07-21 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-06 20:18]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programmi\AskBarDis\bar\bin\askBar.dll


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://it.intl.acer.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://it.intl.acer.yahoo.com/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {47DED19C-6BDA-45BC-927C-FB3D952D02E8} = 217.12.181.97,151.1.2.1
FF - ProfilePath - c:\documents and settings\Bisneff_\Dati applicazioni\Mozilla\Firefox\Profiles\zrfkf0hi.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=
FF - component: c:\programmi\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\documents and settings\All Users\Dati applicazioni\NexonEU\NGM\npNxGameeu.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-22 00:14
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-07-21  0.18.14
ComboFix-quarantined-files.txt  2009-07-21 22:18

Pre-Run: 6.169.546.752 byte disponibili
Post-Run: 6.232.481.792 byte disponibili

Grazie di tutto. Altro da aggiungere?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allego uno screenshot del mio "piccolo" problema "recycler"... se qualcuno ne sa qualcosa me lo debelli (anche perchè ha infettato tutte le mie memorie)

recyclerj.th.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Combofix ha eliminato qualcosa, niente altro da segnalare.

Eliminare la cartella RECYCLER è impossibile in quanto Windows ne ha bisogno perché è lì che lui deposita i file in attesa di essere “eliminati” definitivamente, in pratica quello che noi vediamo come cestino non è altro che un collegamento a questa cartella.

http://support.microsoft.com/kb/282599/it

Stesso discorso per il file CTFMON, anch'esso legittimo.

http://support.microsoft.com/kb/282599/it

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti ringrazio per tutto... ma da quando mi hai fatto fixare tutti quei processi non mi funziona più Hypersonic che è un VST che avevo installato... è Steinberg... non so come fare perhcè mi serviva davvero...

Mi risolvi il problema?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Apri Hijackthis,

Open the misc tools section

Backups

selezioni le voci fixate che riguardano i programmi che vuoi che partano in avvio

clicca su restore, conferma "SI"

chiudi riavvia.

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0