Accedi per seguire   
Seguaci 0
Divina

Log Hijackthis

11 messaggi in questa discussione

Allego log hijackthis effettuato in seguito a un rilevamento da Malwarebyte s di un trojan agent, grazie per il vostro aiuto.

Allego anche log di combo fix .Grazie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Apir HTJ, do a system scan only, metti la spunta a questa voce se presente e premi fix checked:

O4 - HKCU\..\Run: [Microsoft Windows] C:\Documents and Settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe

Poi:

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note

● copia ed incolla queste righe:

RegNull::

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

File::

c:\windows\system32\drivers\xcpip.sys

c:\windows\system32\drivers\xpsec.sys

Driver::

xcpip

xpsec

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"=-

"65533:TCP"=-

"52344:TCP"=-

"6174:TCP"=-

"6175:TCP"=-

"8265:TCP"=-

"8686:TCP"=-

"3702:TCP"=-

"9914:TCP"=-

"9915:TCP"=-

"5278:TCP"=-

"2404:TCP"=-

"3308:TCP"=-

"8808:TCP"=-

"4450:TCP"=-

"2842:TCP"=-

"7951:TCP"=-

"8607:TCP"=-

"2499:TCP"=-

"6373:TCP"=-

"1654:TCP"=-

"4029:TCP"=-

"8622:TCP"=-

"5951:TCP"=-

"6467:TCP"=-

"7514:TCP"=-

"7732:TCP"=-

"5201:TCP"=-

"5560:TCP"=-

"6998:TCP"=-

"8419:TCP"=-

"2373:TCP"=-

"3246:TCP"=-

SecCenter::

{00000002-0002-0000-6C25-9E7C08000A00}

{00000002-0002-0000-7C25-9E7C08000A00}

{0012F2B4-5CE9-7C92-0300-000100000000}

● Salva il file con il nome CFScript, e posizionalo sul Desktop

disabilita Antivirus ed eventuale Firewall

● trascina il file CFScript sull'icona di ComboFix, come puoi vedere nello screenshot qui sotto

● partirà nuovamente una scansione con ComboFix

● posta il nuovo log di ComboFix

cfscript.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho eseguito alla lettera le tue istruzioni anche se non ho trovato la voce da fixare su hijackthis,

dopo aver avviato seguendo la procedura da te descritta combofix il pc si è riavviato e nella schermata iniziale mi è apparso malwarebyte s che mi infoirmava che c erano elementi nocivi.

Nella quarantena ho trovato questi virus:

Backdoor.IRCBot

Trojan Agent.

Scusa ma faccio copia e incolla che non lo carica il log combofix

Grazie ancora.

ComboFix 11-06-06.01 - Administrator 06/06/2011 18.38.30.7.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1015.589 [GMT 2:00]

Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe

Opzioni usate :: c:\documents and settings\Administrator\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5C49-7C92-0300-000100000000}

.

FILE ::

"c:\windows\system32\drivers\xcpip.sys"

"c:\windows\system32\drivers\xpsec.sys"

.

.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

-------\Service_xpsec

.

.

((((((((((((((((((((((((( Files Creati Da 2011-05-06 al 2011-06-06 )))))))))))))))))))))))))))))))))))

.

.

2011-06-06 16:52 . 2011-06-05 11:52 1860096 --sh--w- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe

2011-06-06 14:37 . 2011-06-06 14:37 388096 ----a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-05-31 13:09 . 2011-05-31 13:09 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-29 07:11 . 2011-05-05 13:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-29 07:11 . 2011-05-05 13:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-05-02 10:22 . 2011-04-30 11:25 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-05-02 10:22 . 2011-04-30 11:25 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-19 15:28 . 1999-05-15 18:02 3224336 ----a-w- c:\windows\system32\VFP500.DLL

2011-04-19 15:28 . 1999-05-15 18:02 770560 ----a-w- c:\windows\system32\VFP5ENU.DLL

.

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-12 39408]

"Microsoft Windows"="c:\documents and settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe" [bU]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OODefragTray"="c:\windows\system32\oodtray.exe" [2009-08-21 2553088]

"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]

"Google Update"="c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe" [2011-06-05 1860096]

"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

c:\documents and settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\

YoWindow.lnk - c:\programmi\YoWindow\yowindow.exe [2010-4-7 720384]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programmi\\Messenger\\msmsgs.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programmi\\TeamViewer\\Version5\\TeamViewer.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 11.25.50 12872]

R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 11.15.58 66632]

R2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [05/05/2011 15.06.33 366640]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05/05/2011 15.06.25 22712]

S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\DRIVERS\cccp106.sys --> c:\windows\system32\DRIVERS\cccp106.sys [?]

S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [05/05/2011 15.06.33 39984]

S3 QCEmerald;Logitech QuickCam Web;c:\windows\system32\drivers\OVCE.sys [21/06/2009 14.17.13 31872]

S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 11.15.58 12872]

S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [07/10/2006 0.40.08 129535]

.

--- Altri Servizi/Drivers In Memoria ---

.

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Contenuto della cartella 'Scheduled Tasks'

.

2011-06-06 c:\windows\Tasks\GlaryInitialize.job

- c:\programmi\Glary Utilities\initialize.exe [2010-03-06 18:44]

.

2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-06 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]

.

2011-06-06 c:\windows\Tasks\PandaUSBVaccine.job

- c:\programmi\Panda USB Vaccine\RunInteractiveWin.exe [2010-03-07 15:45]

.

.

------- Scansione supplementare -------

.

uStart Page = hxxp://www.google.com/ig?hl=it

uInternet Settings,ProxyOverride = 127.0.0.1

IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

TCP: DhcpNameServer = 192.168.1.1

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-06 18:54

Windows 5.1.2600 Service Pack 3 NTFS

.

scansione processi nascosti ...

.

scansione entrate autostart nascoste ...

.

Scansione files nascosti ...

.

Scansione completata con successo

Files nascosti: 0

.

**************************************************************************

.

--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

.

[HKEY_USERS\S-1-5-21-1220945662-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,70,01,5b,01,eb,f0,27,4b,9e,e3,7c,\

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,9b,c5,9b,0a,0b,43,41,81,d7,fc,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,70,01,5b,01,eb,f0,27,4b,9e,e3,7c,\

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]

"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Dlls caricate dai processi in esecuzione ---------------------

.

- - - - - - - > 'winlogon.exe'(604)

c:\programmi\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\WININET.dll

c:\documents and settings\Administrator\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

c:\documents and settings\Administrator\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll

.

- - - - - - - > 'explorer.exe'(2660)

c:\windows\system32\WININET.dll

c:\programmi\Windows Media Player\wmpband.dll

c:\windows\system32\webcheck.dll

.

------------------------ Altri processi in esecuzione ------------------------

.

c:\programmi\Avira\AntiVir Desktop\sched.exe

c:\programmi\Panda USB Vaccine\USBVaccine.exe

c:\programmi\Avira\AntiVir Desktop\avguard.exe

c:\programmi\Java\jre6\bin\jqs.exe

c:\programmi\Avira\AntiVir Desktop\avshadow.exe

c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\oodag.exe

c:\programmi\File comuni\Microsoft Shared\Windows Live\WLIDSVC.EXE

c:\programmi\File comuni\Microsoft Shared\Windows Live\WLIDSvcM.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Ora fine scansione: 2011-06-06 19:00:43 - Il pc è stato riavviato

ComboFix-quarantined-files.txt 2011-06-06 17:00

.

Pre-Run: 138.004.180.992 byte disponibili

Post-Run: 137.912.549.376 byte disponibili

.

- - End Of File - - 139FD699AF6E990FB8B4321D843977F4

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un nuovo file di testo con questo contenuto sul desktop, chiamalo CFScript.txt e trascinalo sull'icona di ComboFix.

File::

c:\documents and settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows"=-

Posta il nuovo Log.

Comunica come funziona il PC :thumbsup5:

Posta anche un log aggiornato di Hijackthis, e il log di MalwareBytes (l'ultimo, se possibile).

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Eccomi ho eseguito le procedure da te descritte nel post precedente, purtroppo non so perchè non mi allega i file mi da sempre errore quindi li metto sul post con il solito copia e incolla.:innocent:

Per quanto riguarda il pc ho la sensazione che sia leggermente piu' veloce, all avvio di windows non mi compare piu' il messaggio di allerta di un virus dato da malwarebyte s , ma mi è successo che avviando explore mi si è aperta la pagina iniziale e subito dopo un sito (che non ho avuto modo di vedere cosa fosse) e immediatamente si è chiuso tutto, avviando nuovamente explorer il problema non si è ripresentato.

ecco di seguito i log. Grazie della gentilezza :rolleyes:

ComboFix 11-06-06.06 - Administrator 07/06/2011 14.24.36.9.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1015.633 [GMT 2:00]

Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe

Opzioni usate :: c:\documents and settings\Administrator\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5C49-7C92-0300-000100000000}

.

FILE ::

"c:\documents and settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe"

.

.

((((((((((((((((((((((((( Files Creati Da 2011-05-07 al 2011-06-07 )))))))))))))))))))))))))))))))))))

.

.

2011-06-06 14:37 . 2011-06-06 14:37 388096 ----a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-05-31 13:09 . 2011-05-31 13:09 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-29 07:11 . 2011-05-05 13:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-29 07:11 . 2011-05-05 13:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-05-02 10:22 . 2011-04-30 11:25 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-05-02 10:22 . 2011-04-30 11:25 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-19 15:28 . 1999-05-15 18:02 3224336 ----a-w- c:\windows\system32\VFP500.DLL

2011-04-19 15:28 . 1999-05-15 18:02 770560 ----a-w- c:\windows\system32\VFP5ENU.DLL

.

.

((((((((((((((((((((((((((((( SnapShot@2011-06-06_14.05.05 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-06-07 09:28 . 2011-06-07 09:28 16384 c:\windows\temp\Perflib_Perfdata_6b8.dat

+ 2006-10-06 20:06 . 2011-06-07 09:27 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

- 2006-10-06 20:06 . 2011-06-06 13:07 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

+ 2006-10-06 20:06 . 2011-06-07 09:27 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat

- 2006-10-06 20:06 . 2011-06-06 13:07 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat

+ 2010-03-06 21:56 . 2011-06-07 09:27 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2010-03-06 21:56 . 2011-06-06 13:07 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2011-06-06 14:37 . 2011-06-06 14:37 1094656 c:\windows\Installer\16d2ca.msi

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-12 39408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OODefragTray"="c:\windows\system32\oodtray.exe" [2009-08-21 2553088]

"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]

"Google Update"="c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe" [2011-06-05 1860096]

"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

c:\documents and settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\

YoWindow.lnk - c:\programmi\YoWindow\yowindow.exe [2010-4-7 720384]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programmi\\Messenger\\msmsgs.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programmi\\TeamViewer\\Version5\\TeamViewer.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 11.25.50 12872]

R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 11.15.58 66632]

R2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [05/05/2011 15.06.33 366640]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05/05/2011 15.06.25 22712]

S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\DRIVERS\cccp106.sys --> c:\windows\system32\DRIVERS\cccp106.sys [?]

S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [05/05/2011 15.06.33 39984]

S3 QCEmerald;Logitech QuickCam Web;c:\windows\system32\drivers\OVCE.sys [21/06/2009 14.17.13 31872]

S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 11.15.58 12872]

S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [07/10/2006 0.40.08 129535]

.

--- Altri Servizi/Drivers In Memoria ---

.

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Contenuto della cartella 'Scheduled Tasks'

.

2011-06-07 c:\windows\Tasks\GlaryInitialize.job

- c:\programmi\Glary Utilities\initialize.exe [2010-03-06 18:44]

.

2011-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-07 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]

.

2011-06-07 c:\windows\Tasks\PandaUSBVaccine.job

- c:\programmi\Panda USB Vaccine\RunInteractiveWin.exe [2010-03-07 15:45]

.

.

------- Scansione supplementare -------

.

uStart Page = hxxp://www.google.com/ig?hl=it

IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

TCP: DhcpNameServer = 192.168.1.1

TCP: Interfaces\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-07 14:32

Windows 5.1.2600 Service Pack 3 NTFS

.

scansione processi nascosti ...

.

scansione entrate autostart nascoste ...

.

Scansione files nascosti ...

.

Scansione completata con successo

Files nascosti: 0

.

**************************************************************************

.

--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

.

[HKEY_USERS\S-1-5-21-1220945662-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,70,01,5b,01,eb,f0,27,4b,9e,e3,7c,\

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,9b,c5,9b,0a,0b,43,41,81,d7,fc,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,70,01,5b,01,eb,f0,27,4b,9e,e3,7c,\

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]

"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Dlls caricate dai processi in esecuzione ---------------------

.

- - - - - - - > 'winlogon.exe'(612)

c:\programmi\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\WININET.dll

c:\documents and settings\Administrator\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

c:\documents and settings\Administrator\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll

.

- - - - - - - > 'explorer.exe'(2188)

c:\windows\system32\WININET.dll

c:\programmi\Windows Media Player\wmpband.dll

c:\programmi\File comuni\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\programmi\File comuni\Adobe\Acrobat\ActiveX\PDFShell.ITA

c:\windows\system32\webcheck.dll

.

Ora fine scansione: 2011-06-07 14:35:31

ComboFix-quarantined-files.txt 2011-06-07 12:35

ComboFix2.txt 2011-06-07 09:36

.

Pre-Run: 137.890.668.544 byte disponibili

Post-Run: 137.938.960.384 byte disponibili

.

- - End Of File - - A855DEBCA9545E73B40BDB4B7236CC6E

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14.37.09, on 07/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\Programmi\Panda USB Vaccine\USBVaccine.exe

C:\WINDOWS\system32\oodtray.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmi\YoWindow\yowindow.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\Avira\AntiVir Desktop\avshadow.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Google Update] C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - Startup: YoWindow.lnk = C:\Programmi\YoWindow\yowindow.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1249381819406

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

O20 - Winlogon Notify: !SASWinLogon - c:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6589 bytes

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

Versione database: 6785

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

07/06/2011 16.20.53

mbam-log-2011-06-07 (16-20-53).txt

Tipo di scansione: Scansione completa (C:\|)

Elementi esaminati: 220087

Tempo impiegato: 1 ore, 42 minuti, 49 secondi

Processi infetti in memoria: 0

Moduli di memoria infetti: 0

Chiavi di registro infette: 0

Valori di registro infetti: 0

Voci infette nei dati di registro: 0

Cartelle infette: 0

File infetti: 0

Processi infetti in memoria:

(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:

(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:

(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:

(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:

(Non sono stati rilevati elementi nocivi)

Cartelle infette:

(Non sono stati rilevati elementi nocivi)

File infetti:

(Non sono stati rilevati elementi nocivi)

"c:\documents and settings\Administrator\Dati applicazioni\Microsoft\spoolsv.exe"

.

.

((((((((((((((((((((((((( Files Creati Da 2011-05-07 al 2011-06-07 )))))))))))))))))))))))))))))))))))

.

.

2011-06-06 14:37 . 2011-06-06 14:37 388096 ----a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-05-31 13:09 . 2011-05-31 13:09 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-29 07:11 . 2011-05-05 13:06 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-29 07:11 . 2011-05-05 13:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-05-02 10:22 . 2011-04-30 11:25 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-05-02 10:22 . 2011-04-30 11:25 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-19 15:28 . 1999-05-15 18:02 3224336 ----a-w- c:\windows\system32\VFP500.DLL

2011-04-19 15:28 . 1999-05-15 18:02 770560 ----a-w- c:\windows\system32\VFP5ENU.DLL

.

.

((((((((((((((((((((((((((((( SnapShot@2011-06-06_14.05.05 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-06-07 09:28 . 2011-06-07 09:28 16384 c:\windows\temp\Perflib_Perfdata_6b8.dat

+ 2006-10-06 20:06 . 2011-06-07 09:27 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

- 2006-10-06 20:06 . 2011-06-06 13:07 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

+ 2006-10-06 20:06 . 2011-06-07 09:27 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat

- 2006-10-06 20:06 . 2011-06-06 13:07 32768 c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat

+ 2010-03-06 21:56 . 2011-06-07 09:27 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2010-03-06 21:56 . 2011-06-06 13:07 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2011-06-06 14:37 . 2011-06-06 14:37 1094656 c:\windows\Installer\16d2ca.msi

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-12 39408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OODefragTray"="c:\windows\system32\oodtray.exe" [2009-08-21 2553088]

"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]

"Google Update"="c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe" [2011-06-05 1860096]

"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

c:\documents and settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\

YoWindow.lnk - c:\programmi\YoWindow\yowindow.exe [2010-4-7 720384]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programmi\\Messenger\\msmsgs.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programmi\\TeamViewer\\Version5\\TeamViewer.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 11.25.50 12872]

R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 11.15.58 66632]

R2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [05/05/2011 15.06.33 366640]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05/05/2011 15.06.25 22712]

S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\DRIVERS\cccp106.sys --> c:\windows\system32\DRIVERS\cccp106.sys [?]

S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/11/2010 18.55.57 136176]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [05/05/2011 15.06.33 39984]

S3 QCEmerald;Logitech QuickCam Web;c:\windows\system32\drivers\OVCE.sys [21/06/2009 14.17.13 31872]

S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 11.15.58 12872]

S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [07/10/2006 0.40.08 129535]

.

--- Altri Servizi/Drivers In Memoria ---

.

*Deregistered* - xcpip

*Deregistered* - xpsec

.

Contenuto della cartella 'Scheduled Tasks'

.

2011-06-07 c:\windows\Tasks\GlaryInitialize.job

- c:\programmi\Glary Utilities\initialize.exe [2010-03-06 18:44]

.

2011-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programmi\Google\Update\GoogleUpdate.exe [2010-11-12 16:55]

.

2011-06-07 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]

.

2011-06-07 c:\windows\Tasks\PandaUSBVaccine.job

- c:\programmi\Panda USB Vaccine\RunInteractiveWin.exe [2010-03-07 15:45]

.

.

------- Scansione supplementare -------

.

uStart Page = hxxp://www.google.com/ig?hl=it

IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

TCP: DhcpNameServer = 192.168.1.1

TCP: Interfaces\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-07 14:32

Windows 5.1.2600 Service Pack 3 NTFS

.

scansione processi nascosti ...

.

scansione entrate autostart nascoste ...

.

Scansione files nascosti ...

.

Scansione completata con successo

Files nascosti: 0

.

**************************************************************************

. Rettifica , purtroppo qst mattina all avvio del pc Malwarebyte s mi ha nuovamente segnalato il trojan agend che ho provveduto a mettere in quarantena :66:

Modificato da Divina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica ed installa HitmanPro: http://www.surfright.nl/en/downloads

● scegli la versione adatta al tuo Sistema Operativo ([/b] - 32Bit o 64Bit)

● una volta lanciato, nella finestra principale clicca su Impostazioni

● clicca su Licenza ed attiva la licenza

● clicca su scansione di default (consigliato)

● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato che dovrai allegare

Poi:

Esegui la procedura descritta, rigorosamente nel suo ordine, al fine di:

guadagnare spazio su disco

ottimizzare le prestazioni del sistema

mantenere il corretto funzionamento di Windows

Ottimizzazione - post rimozione malware

Il mio consiglio è quello di stampare questa procedura, perché tornerà senz'altro utile in futuro.

Queste operazioni infatti, andrebbero eseguite almeno una volta al mese.

Tieni presente che sarebbe utile formattare il disco fisso almeno una volta ogni due anni, in quanto la maggior parte delle chiavi di registro corrotte e danneggiate non si possono ripristinare correttamente, e l'installazione e la disinstallazione continua dei programmi può causare crash di sistema.

Una formattazione consente di ottenere dei massimi benefici, in termini di velocità, stabilità e prestazioni.

Questa procedura si avvicina maggiormente ai risultati ottenuti tramite una formattazione del disco fisso, ma tieni presente i consigli indicati sopra.

1. Rimuovi le voci di avvio non necessarie

Questa procedura è puramente opzionale: questi sono programmi che si avviano quando accendi il computer, ma puoi eseguirli una volta caricato il sistema operativo.

Togliendo questi software dall'esecuzione automatica, l'avvio sarà più veloce ed il computer funzionerà meglio.

Avvia HiJackThis e:

● clicca sul pulsante Do a system scan only/Scan

metti la spunta accanto ad ogni singola voce indicata sotto

● una volta spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su

Queste sono le voci da fixare:

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Google Update] C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe

O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1249381819406

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

******************************

2. Disinstalla i programmi inutilizzati, e tutte le Toolbar

Procedura per Windows XP:

● clicca sul pulsante Start

● apri il Pannello di controllo

● clicca su Installazione applicazioni

● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Rimuovi: partirà la procedura di disinstallazione

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● apri il Pannello di controllo

● clicca su Programmi, e su Programmi e funzionalità

● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Disinstalla: partirà la procedura di disinstallazione

******************************

3. Disinstalla dal Pannello di controllo, in particolare, le seguenti applicazioni:

Adobe Flash Player

Adobe Reader

Java (tutte le versioni installate)

● MalwareBytes (scarica poi la nuova versione gratuita, e, quando avvii il programma, alla richiesta di prova della versione a pagamento, clicca No)

● SuperAntiSpyware (hai già MalwareBytes e Avira, due ottimi antivirus)

Scarica ed installa, dai siti proposti:

Adobe Flash Player: http://get.adobe.com/it/flashplayer

Adobe Reader : http://get.adobe.com/it/reader

Java: http://java.com/it/download/index.jsp

Note - riguardo ai programmi:

non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

● alternativamente ad Abobe Reader, software pesante, ingombrante e soprattutto soggetto a vulnerabilità sfruttabili dai malware presenti nella rete per infettare il sistema, puoi scaricare il veloce e leggerissimo Sumatra PDF Reader, che nulla ha da invidiare al prodotto di casa Adobe: http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

******************************

4. Disattiva il Ripristino Configurazione di Sistema

Procedura per Windows XP:

● clicca sul pulsante Start

● tasto destro del mouse sull'icona Risorse del computer

● seleziona, dal menù a tendina, la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità

● conferma la modifica, con Applica e OK

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● tasto destro del mouse sull'icona Computer

● seleziona, dal menù a tendina, la voce Proprietà

● clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua

● togli la spunta accanto a tutti i dischi presenti nel riquadro in basso

● clicca su Disattiva Ripristino configurazione di sistema

● conferma la modifica, con Applica e OK

******************************

5. Svuota del suo contenuto la cartella Prefetch

Nota - riguardo alla procedura:

● la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer. Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci

Procedura per Windows XP:

● clicca sul pulsante Start

● clicca su Risorse del computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella Prefetch

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● clicca su Computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella Prefetch

elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

******************************

6. Svuota del suo contenuto la cartella Download

Nota - riguardo alla procedura:

● la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti

Procedura per Windows XP:

● clicca sul pulsante Start

● clicca su Risorse del computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella SoftwareDistribution

● individua ed apri la cartella Download

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● clicca su Computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella SoftwareDistribution

● individua ed apri la cartella Download

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

******************************

7. Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

termina tutti i programmi attivi, comprese le pagine Internet

● avvia il tool con un doppio click

● clicca, in basso a sinistra, sul pulsante Start

scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi

● attendi pazientemente il termine delle operazioni

● clicca, in basso a destra, sul pulsante Exit

● una volta terminate le operazioni, chiudi il programma

Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

8. Scarica ed installa CCleaner: http://www.piriform.com/ccleaner/download

Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato ed avviato, esegui queste operazioni:

● nel menù di sinistra, clicca su Opzioni

● nella finestra successiva, clicca su Impostazioni

● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)

● clicca su Avanzate

● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro

● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS

● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti

termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei

● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei

● nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK

● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro

● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate

● clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere

● una volta terminate le operazioni, chiudi il programma

******************************

9. Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):

● clicca sulla voce Open the Misc Tools section

● clicca su Open ADS Spy..., nel tab System tools

● in alto, togli la spunta alla voce Quick scan (Windows base folder only)

● clicca, in basso, sul pulsante Scan

● attendi pazientemente il termine della scansione

● se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all

● clicca, in basso, sul pulsante Remove selected: conferma con

● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:

● in caso disponga di un sistema operativo a 64 Bit, tralascia la procedura

******************************

10. Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Note - riguardo al programma:

OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato particolari programmi, come ComboFix

● per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

11. Riabilita il Ripristino Configurazione di Sistema, seguendo la procedura inversa al punto 4

******************************

Scarica ed installa Defraggler: http://www.piriform.com/defraggler/download

Nota - durante l'installazione:

non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato, esegui queste operazioni:

● avvia il programma con un doppio click

● seleziona, con il tasto sinistro del mouse, tutte le unità presenti, tranne il Floppy Disk

● clicca, con il tasto destro del mouse, sullo spazio evidenziato in blu

● dal menù contestuale, scegli la voce Deframmenta Drive

● attendi pazientemente il termine delle operazioni

******************************

Note - al termine della procedura:

riavvia il sistema

allega un nuovo log di HijackThis

● comunica come funziona il sistema, e quali problemi riscontri attualmente

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ho eseguito alla lettera le tue istruzioni,

adesso ho la sensazione di avere un pc nuovo, è mooooltoo più veloce di prima

ho provato a navigare un po , ho riavviato il sistema e sembra tutto perfettamente in ordine.:clapping3: Grazieee.

ti allego il log con il solito copia e incolla (uff perchè mi da errore quando lo carico)

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20.07.42, on 08/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\Programmi\Panda USB Vaccine\USBVaccine.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\Avira\AntiVir Desktop\avshadow.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\Programmi\File comuni\Java\Java Update\jusched.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\YoWindow\yowindow.exe

C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [HitmanPro35] "C:\Programmi\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: YoWindow.lnk = C:\Programmi\YoWindow\yowindow.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6021 bytes

Modificato da Divina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Divina. :thumbsup5:

Avvia HiJackThis e:

● clicca sul pulsante Do a system scan only/Scan

metti la spunta accanto ad ogni singola voce indicata sotto

● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su

Queste sono le voci da fixare:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

Start Esegui e digita:

sc delete ACDaemon service

clicca invio

Start Esegui e digita:

sc delete JavaQuickStarterService service

clicca invio

Disinstalla MalwareBytes, reinstallalo e, una volta avviato, non consentire l'inizio del periodo di prova, tieni la versione Free.

Poi, Hitman Pro ha rilevato infezioni? Se si, posta il Report.

Allega il nuovo log aggiornato di Hijackthis, Ciao e buon lavoro! :thumbsup5:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora ho disistallato e reistallato malwarebytes ( lo avevo fatto anche oggi)

ma non mi appare la dicitura periodo di prova.

stranamente malwarebytes conteneva in quarantena il trojan agent e tutti i report delle scansioni fatte in precedenza.

Ti allego il log hijackthis e l altro di hitmanpro.

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21.51.49, on 08/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\Programmi\Panda USB Vaccine\USBVaccine.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\Avira\AntiVir Desktop\avshadow.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\YoWindow\yowindow.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [HitmanPro35] "C:\Programmi\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: YoWindow.lnk = C:\Programmi\YoWindow\yowindow.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 5421 bytes

Log Hitmanpro

- <Log computer="CECILIA" scan="Normal" version="3.5.8.121" date="2011-06-08T14:45:26" timeSpentInSecs="637" filesProcessed="13706">

- <Item type="Repair" score="0.0" status="Deleted">

<File path="C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[1].txt" />

</Item>

- <Item type="Repair" score="0.0" status="Deleted">

<File path="C:\Documents and Settings\Administrator\Cookies\administrator@smartadserver[1].txt" />

</Item>

- <Item type="Repair" score="0.0" status="Deleted">

<File path="C:\Documents and Settings\Administrator\Cookies\administrator@track.adform[1].txt" />

</Item>

- <Item type="Repair" score="0.0" status="Deleted">

<File path="C:\Documents and Settings\Administrator\Cookies\administrator@xiti[1].txt" />

</Item>

- <Item type="Suspicious" score="22.0" status="None">

<File path="C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe" hash="FA6BEC9267ECA2B4479006889CC394B0D12725E506A28C1A2F22799BBBC937AB" />

- <Startup>

<Key path="HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Google Update" />

</Startup>

- <References>

<Key path="HKU\S-1-5-21-1220945662-706699826-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\GoogleUpdates.exe" />

</References>

</Item>

</Log>

incrocio le dita e ti rinnovo il mio Grazie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Disinstalla Hitman Pro e;

Esegui la procedura descritta, rigorosamente nel suo ordine, al fine di:

guadagnare spazio su disco

ottimizzare le prestazioni del sistema

mantenere il corretto funzionamento di Windows

Ottimizzazione - post rimozione malware

Il mio consiglio è quello di stampare questa procedura, perché tornerà senz'altro utile in futuro.

Queste operazioni infatti, andrebbero eseguite almeno una volta al mese.

Tieni presente che sarebbe utile formattare il disco fisso almeno una volta ogni due anni, in quanto la maggior parte delle chiavi di registro corrotte e danneggiate non si possono ripristinare correttamente, e l'installazione e la disinstallazione continua dei programmi può causare crash di sistema.

Una formattazione consente di ottenere dei massimi benefici, in termini di velocità, stabilità e prestazioni.

Questa procedura si avvicina maggiormente ai risultati ottenuti tramite una formattazione del disco fisso, ma tieni presente i consigli indicati sopra.

1. Rimuovi le voci di avvio non necessarie

Questa procedura è puramente opzionale: questi sono programmi che si avviano quando accendi il computer, ma puoi eseguirli una volta caricato il sistema operativo.

Togliendo questi software dall'esecuzione automatica, l'avvio sarà più veloce ed il computer funzionerà meglio.

Avvia HiJackThis e:

● clicca sul pulsante Do a system scan only/Scan

metti la spunta accanto ad ogni singola voce indicata sotto

● una volta spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su

Queste sono le voci da fixare:

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

******************************

2. Disinstalla i programmi inutilizzati, e tutte le Toolbar

Procedura per Windows XP:

● clicca sul pulsante Start

● apri il Pannello di controllo

● clicca su Installazione applicazioni

● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Rimuovi: partirà la procedura di disinstallazione

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● apri il Pannello di controllo

● clicca su Programmi, e su Programmi e funzionalità

● seleziona il programma da disinstallare, e clicca sul tasto Cambia/Disinstalla: partirà la procedura di disinstallazione

******************************

3. Disinstalla dal Pannello di controllo, in particolare, le seguenti applicazioni:

Adobe Flash Player

Adobe Reader

Java (tutte le versioni installate)

Scarica ed installa, dai siti proposti:

Adobe Flash Player: http://get.adobe.com/it/flashplayer

Adobe Reader : http://get.adobe.com/it/reader

Java: http://java.com/it/download/index.jsp

Note - riguardo ai programmi:

non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

● alternativamente ad Abobe Reader, software pesante, ingombrante e soprattutto soggetto a vulnerabilità sfruttabili dai malware presenti nella rete per infettare il sistema, puoi scaricare il veloce e leggerissimo Sumatra PDF Reader, che nulla ha da invidiare al prodotto di casa Adobe: http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

******************************

4. Disattiva il Ripristino Configurazione di Sistema

Procedura per Windows XP:

● clicca sul pulsante Start

● tasto destro del mouse sull'icona Risorse del computer

● seleziona, dal menù a tendina, la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità

● conferma la modifica, con Applica e OK

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● tasto destro del mouse sull'icona Computer

● seleziona, dal menù a tendina, la voce Proprietà

● clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua

● togli la spunta accanto a tutti i dischi presenti nel riquadro in basso

● clicca su Disattiva Ripristino configurazione di sistema

● conferma la modifica, con Applica e OK

******************************

5. Svuota del suo contenuto la cartella Prefetch

Nota - riguardo alla procedura:

● la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer. Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci

Procedura per Windows XP:

● clicca sul pulsante Start

● clicca su Risorse del computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella Prefetch

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● clicca su Computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella Prefetch

elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

******************************

6. Svuota del suo contenuto la cartella Download

Nota - riguardo alla procedura:

● la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti

Procedura per Windows XP:

● clicca sul pulsante Start

● clicca su Risorse del computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella SoftwareDistribution

● individua ed apri la cartella Download

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:

● clicca sul pulsante Start

● clicca su Computer

● apri il Disco locale C:

● individua ed apri la cartella Windows

● individua ed apri la cartella SoftwareDistribution

● individua ed apri la cartella Download

elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

******************************

7. Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

termina tutti i programmi attivi, comprese le pagine Internet

● avvia il tool con un doppio click

● clicca, in basso a sinistra, sul pulsante Start

scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi

● attendi pazientemente il termine delle operazioni

● clicca, in basso a destra, sul pulsante Exit

● una volta terminate le operazioni, chiudi il programma

Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

8. Scarica ed installa CCleaner: http://www.piriform.com/ccleaner/download

Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato ed avviato, esegui queste operazioni:

● nel menù di sinistra, clicca su Opzioni

● nella finestra successiva, clicca su Impostazioni

● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)

● clicca su Avanzate

● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro

● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS

● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti

termina tutti i programmi attivi, comprese le pagine Internet

● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei

● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei

● nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK

● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro

● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate

● clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere

● una volta terminate le operazioni, chiudi il programma

******************************

9. Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):

● clicca sulla voce Open the Misc Tools section

● clicca su Open ADS Spy..., nel tab System tools

● in alto, togli la spunta alla voce Quick scan (Windows base folder only)

● clicca, in basso, sul pulsante Scan

● attendi pazientemente il termine della scansione

● se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all

● clicca, in basso, sul pulsante Remove selected: conferma con

● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:

● in caso disponga di un sistema operativo a 64 Bit, tralascia la procedura

******************************

10. Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Note - riguardo al programma:

OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato particolari programmi, come ComboFix

● per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

******************************

11. Riabilita il Ripristino Configurazione di Sistema, seguendo la procedura inversa al punto 4

******************************

Scarica ed installa Defraggler: http://www.piriform.com/defraggler/download

Nota - durante l'installazione:

non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato, esegui queste operazioni:

● avvia il programma con un doppio click

● seleziona, con il tasto sinistro del mouse, tutte le unità presenti, tranne il Floppy Disk

● clicca, con il tasto destro del mouse, sullo spazio evidenziato in blu

● dal menù contestuale, scegli la voce Deframmenta Drive

● attendi pazientemente il termine delle operazioni

******************************

Note - al termine della procedura:

riavvia il sistema

allega un nuovo log di HijackThis

● comunica come funziona il sistema, e quali problemi riscontri attualmente

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ecco l ultimo log di hijackthis.Resto in attesa a dita incrociate .

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19.12.43, on 10/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Panda USB Vaccine\USBVaccine.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\YoWindow\yowindow.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\Avira\AntiVir Desktop\avshadow.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Trend Micro\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: YoWindow.lnk = C:\Programmi\YoWindow\yowindow.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{90371BFC-260E-4068-8F98-92479EF61294}: NameServer = 85.37.17.17 85.38.28.72

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 5288 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0