Virus Manda Mail Tramite Thunderbird...

[Alecos]

Salve a tutti! E buon ritorno dalla vacanze! Allora... ho un problema assai fastidioso... quando ricevo della posta (uso thunderbird2 e XP Pro SP3) e rispondo e faccio per salvare l'email tra le bozze mi si apre un messaggio di dialogo che mi chiede se voglio spedire un messaggio come utf-8 essendo presenti nel messaggio caratteri non disponibili nel charset impostato... ovvio che non stavo spedendo l'email ma stavo cercando solo di salvarla (e poi l'email che stavo spedendo non conteneva caratteri utf-8) e questo non è possibile fin quando non clicco su invia... appena ho cliccato su invia mi fa salvare l'email ma purtroppo ha già inviato una ghost mail a qualcuno ed io non trovo traccia dell'email spedita ma ho solo la certezza che è stato spedito un messaggio (virus o spam) a qualcuno. Ecco qui l'immagine: Thunderbird2

Poi ho un altro problema... mi sono ritrovato disabilitato alcuni servizi essenziali come FireWall ed altro che ho ripristinato inserendo il cd di XP SP3 (ho fatto io lo slipstream del SP3) e facendo il boot da CD per poi procedere al ripristino mediante opzione R sulla mia copia già installata però ho un problema ancora... il servizio di ripristino funziona solo manualmente cioè io devo inserire a mano il punto di ripristino perchè da solo in automatico non lo fa... come procedere in questo caso? Grazie per l'attenzione.

Saluti.

[Steve75]

ciao

facciamo qualche controllo;

# Fai uno scan online Kaspersky in questo modo e posta il suo log

# Posta anche un log di hijackthis

PS__non ho mai visto un pc con cosi tanti programmi in avvio automatico...  ci metterà una vita ad avviarsi, o sbaglio?

[Alecos]

No no è abbastanza veloce anzi adesso faccio la scansione con Kaspersky e poi ti faccio sapere...

PS: ho fatto una scansione con alibagla o come si chiama e non ha trovato nulla... alleggo qui il suo log...

Edit 09/09/08, 14:29

Ecco il log di HJ 2.0.2 allegato al post...

InfoSat.txt

hijack.txt

Modificato September 12, 2008 da angelique
Unito post consecutivi

[Alecos]

Ho trovato un modo per creare Punti Di Ripristino automaticamente usando "Operazioni Pianificate"... in pratica ho trovato questo link che risolve in parte il problema dei punti di ripristino automatici... ho creato un file vbs che ho chiamato SysRestorePoint.vbs e l'ho dato in pasto al servizio schedule (Operazioni Pianificate) per creare un punto di ripristino automatico. Allego lo script vbs che ho testato e funziona alla perfezione. In attesa di una soluzione permanente questo fix può tornare utile

SysRestorePoint.zip

[Steve75]

alecos, se vuoi fare a modo tuo ok... se vuoi invece farti aiutare da me, devi seguire i consigli che ti vengono dati...

a che serve questo script se i punti di ripristino li crea windows in automatico?

io ti ho chiesto il log kasersky online e tu mi posti quello di elibagla...

[Alecos]

Scusami ma siccome lo scanning con Kaspersky sta procedendo avevo pensato di postarti altri log nel frattempo... sono infatti al 27% e sono passate solo due ore... mi sa che ci vorrà più tempo... desidero fare le cose come da se suggerito quindi non mi lasciare in 13... aiutami!

[Steve75]

tranquillo, aspettiamo l'esito dello scan, che puo essere lunghissimo...

[Alecos]

Ho fatto la scansione con Kaspersky e ci ha messo oltre 5 ore... ti allego il log. Fammi sapere perchè questo antivirus non mi dice quali sono le mail contaminate ma solo in quale cartella si trovano e non so come rimuoverle senza cancellare tutto. Ciao!

Kaspersky_Log.html

[Steve75]

dallo scan si vede solo questo;

C:\Documents and Settings\Ak71\Dati applicazioni\Thunderbird\Profiles\mzqm6snq.Alessandro\Mail\Local Folders\Php-Italia

C:\Documents and Settings\Ak71\Dati applicazioni\Thunderbird\Profiles\mzqm6snq.Alessandro\Mail\Local Folders\Posta ricevuta

comunque prova a fare uno scan con combofix

http://www.steven.altervista.org/files/tools.html#tools1

[Alecos]

Fatto... ecco il log:

ComboFix 08-09-05.14 - Ak71 2008-09-10 18.16.43.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.492 [GMT 2:00]

Eseguito da: D:\Download\ComboFix.exe

* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

ADS - WINDOWS: deleted 72 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Ak71\Dati applicazioni\inst.exe

.

((((((((((((((((((((((((( Files Creati Da 2008-08-10 al 2008-09-10 )))))))))))))))))))))))))))))))))))

.

2008-09-10 18:00 . 2008-09-10 18:00 <DIR> d-------- C:\Programmi\ComboFix

2008-09-10 09:19 . 2008-09-10 09:19 <DIR> d-------- C:\downloads

2008-09-10 09:14 . <DIR> C:\WINDOWS\LastGood.Tmp

2008-09-09 14:42 . 2008-09-09 14:42 <DIR> d-------- C:\Programmi\SysRestorePoint

2008-09-08 15:23 . 2008-09-08 15:23 250 --a------ C:\WINDOWS\gmer.ini

2008-09-08 14:49 . 2008-09-08 14:49 <DIR> d-------- C:\Programmi\Gmer

2008-09-08 14:47 . 2008-09-08 14:48 <DIR> d-------- C:\Programmi\Elibagla

2008-09-06 14:19 . 2008-06-23 18:15 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2008-09-06 14:19 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-09-06 14:19 . 2007-03-08 07:11 1,032,192 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-09-06 14:19 . 2008-06-23 18:15 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-09-06 14:19 . 2008-06-23 18:15 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-09-06 14:19 . 2008-06-23 18:15 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2008-09-06 14:19 . 2008-06-23 18:15 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2008-09-06 14:19 . 2008-06-23 18:15 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-09-06 14:19 . 2008-06-23 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-09-06 12:44 . 2008-06-14 19:32 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-09-06 12:08 . 2008-09-06 12:08 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Office Genuine Advantage

2008-09-06 11:38 . 2008-04-13 19:13 369,152 --a--c--- C:\WINDOWS\system32\dllcache\w3svc.dll

2008-09-06 11:38 . 2008-04-13 19:13 78,336 --a--c--- C:\WINDOWS\system32\dllcache\wam51.dll

2008-09-06 11:38 . 2004-08-30 22:00 74,240 --a--c--- C:\WINDOWS\system32\dllcache\w3ext.dll

2008-09-06 11:38 . 2008-04-13 19:13 53,248 --a--c--- C:\WINDOWS\system32\dllcache\wamreg51.dll

2008-09-06 11:38 . 2004-08-30 22:00 48,256 --a--c--- C:\WINDOWS\system32\dllcache\w32.dll

2008-09-06 11:38 . 2004-08-30 22:00 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll

2008-09-06 11:38 . 2004-08-30 22:00 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys

2008-09-06 11:38 . 2004-08-30 22:00 9,216 --a--c--- C:\WINDOWS\system32\dllcache\wamps51.dll

2008-09-06 11:38 . 2004-08-30 22:00 5,632 --a--c--- C:\WINDOWS\system32\dllcache\w3svapi.dll

2008-09-06 11:38 . 2004-08-30 22:00 4,608 --a--c--- C:\WINDOWS\system32\dllcache\w3ctrs51.dll

2008-09-06 11:36 . 2008-04-13 19:13 257,024 --a--c--- C:\WINDOWS\system32\dllcache\infocomm.dll

2008-09-06 11:35 . 2004-08-30 22:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll

2008-09-06 11:34 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll

2008-09-06 11:31 . 2008-09-06 11:31 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-09-06 11:30 . 2004-08-30 22:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe

2008-09-06 11:30 . 2008-09-06 11:30 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-09-06 11:30 . 2008-09-06 11:30 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-09-06 11:30 . 2008-09-06 11:30 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-09-06 11:30 . 2008-09-06 11:30 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

2008-09-06 11:30 . 2008-09-06 11:30 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-09-06 11:04 . 2008-04-13 20:10 1,246,366 -ra------ C:\WINDOWS\SET71.tmp

2008-09-06 11:04 . 2008-04-13 20:03 1,089,138 -ra------ C:\WINDOWS\SET74.tmp

2008-09-06 11:04 . 2008-04-13 20:03 16,825 -ra------ C:\WINDOWS\SET80.tmp

2008-09-05 18:21 . 2008-09-05 20:13 10,395 --a------ C:\WINDOWS\setupapi.old

2008-08-31 19:11 . 2008-08-31 19:11 17,408 --ahs---- C:\WINDOWS\AnyTrial.exe

2008-08-31 19:10 . 2008-09-07 14:10 <DIR> d-------- C:\Programmi\AnyTrialControl

2008-08-31 18:45 . 2008-08-31 18:46 <DIR> d-------- C:\Programmi\Beagled

2008-08-31 18:40 . 2008-08-31 18:46 <DIR> d-------- C:\Programmi\Avenger

2008-08-31 11:41 . 2008-08-31 11:41 <DIR> d-------- C:\Programmi\RealVNC

2008-08-26 16:03 . 2008-08-26 16:03 <DIR> d-------- C:\Programmi\AnyDVD

2008-08-24 19:46 . 2008-08-24 19:46 <DIR> d-------- C:\Documents and Settings\Ak71\Dati applicazioni\CyberLink

2008-08-24 19:19 . 2008-08-25 14:45 29,480 --a------ C:\WINDOWS\system32\msxml3a.dll

2008-08-21 10:13 . 2008-08-21 10:13 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

2008-08-14 18:16 . 2008-08-24 18:29 <DIR> d-------- C:\Programmi\USDownloader

2008-08-14 15:58 . 2008-08-14 15:58 <DIR> d-------- C:\Programmi\TeamViewer

2008-08-14 15:37 . 2008-08-14 15:37 <DIR> d-------- C:\Documents and Settings\Ak71\Dati applicazioni\TeamViewer

2008-08-14 15:36 . 2008-08-14 15:36 <DIR> d-------- C:\Documents and Settings\Ak71\temp

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-10 16:40 --------- d-----w C:\Documents and Settings\Ak71\Dati applicazioni\Orbit

2008-09-10 16:36 --------- d-----w C:\Documents and Settings\Ak71\Dati applicazioni\stickies

2008-09-10 16:04 --------- d-----w C:\Programmi\Mozilla Thunderbird

2008-09-10 14:03 --------- d-----w C:\Programmi\Orbitdownloader

2008-09-10 11:28 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic

2008-09-10 07:06 --------- d-----w C:\Documents and Settings\Ak71\Dati applicazioni\OpenOffice.org2

2008-09-10 07:05 --------- d-----w C:\Programmi\DynDNS

2008-09-09 15:59 --------- d-----w C:\Programmi\mIRC

2008-09-08 13:00 --------- d-----w C:\Programmi\PowerArchiver

2008-09-07 15:36 --------- d-----w C:\Programmi\jDownloader

2008-09-07 15:02 --------- d-----w C:\Programmi\ADSL

2008-09-07 12:31 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP

2008-09-07 09:36 --------- d-----w C:\Programmi\WinClamAVShield

2008-09-07 09:36 --------- d-----w C:\Programmi\Spyware Terminator

2008-09-06 14:21 --------- d-----w C:\Programmi\eMule

2008-09-06 14:16 441,760 ----a-w C:\WINDOWS\system32\drivers\timntr.sys

2008-09-06 14:16 44,384 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys

2008-09-06 14:16 129,248 ----a-w C:\WINDOWS\system32\drivers\snapman.sys

2008-09-06 14:15 368,544 ----a-w C:\WINDOWS\system32\drivers\tdrpman.sys

2008-09-06 14:11 --------- d-----w C:\Programmi\File comuni\Acronis

2008-09-06 10:20 --------- d-----w C:\Programmi\Replacer

2008-09-05 16:20 --------- d-----w C:\Programmi\Digisoft AntiDialer

2008-08-31 17:22 --------- d-----w C:\Programmi\Stinger

2008-08-31 15:49 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator

2008-08-30 13:07 --------- d-----w C:\Programmi\KeePass

2008-08-30 10:33 20 ---h--w C:\Documents and Settings\All Users\Dati applicazioni\PKP_DLec.DAT

2008-08-30 10:33 20 ---h--w C:\Documents and Settings\All Users\Dati applicazioni\PKP_DLds.DAT

2008-08-29 09:27 --------- d-----w C:\Documents and Settings\Ak71\Dati applicazioni\FileZilla

2008-08-26 14:04 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SlySoft

2008-08-25 13:05 --------- d--h--w C:\Programmi\InstallShield Installation Information

2008-08-24 15:04 --------- d-----w C:\Programmi\Lx_cats

2008-08-23 09:32 --------- d-----w C:\Programmi\Screenshot Pilot

2008-08-22 12:47 --------- d-----w C:\Programmi\Paint.NET

2008-08-22 10:40 --------- d-----w C:\Documents and Settings\Ak71\Dati applicazioni\uTorrent

2008-08-21 14:34 --------- d-----w C:\Programmi\Opera

2008-08-17 15:01 --------- d-----w C:\Programmi\FileZilla FTP Client

2008-08-14 09:55 --------- d-----w C:\Programmi\FreeCommander

2008-08-13 09:08 --------- d-----w C:\Programmi\DivX

2008-08-12 09:41 --------- d-----w C:\Programmi\Java

2008-08-05 12:59 --------- d-----w C:\Programmi\AmiDevCpp

2008-08-02 14:27 --------- d-----w C:\Programmi\Quintessential Player

2008-07-21 12:11 24,392 ----a-w C:\WINDOWS\system32\drivers\ElbyCDIO.sys

2008-07-10 11:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy

2008-07-07 20:27 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-26 11:06 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll

2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll

2008-06-23 16:15 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 16:11 143,104 ----a-w C:\WINDOWS\system32\guard32.dll

2008-06-12 07:46 20,992 ----a-w C:\WINDOWS\system32\vncmirror.dll

2007-09-16 11:35 47,360 ----a-w C:\Documents and Settings\Ak71\Dati applicazioni\pcouffin.sys

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

"PowerArchiver Tray"="C:\Programmi\PowerArchiver\PAStarter.EXE" [2007-11-30 141352]

"ScreenSaverControl"="C:\Programmi\Screensaver Control\ScreensaverControl.exe" [2008-01-19 215040]

"USB Safely Remove"="C:\Programmi\USB Safely Remove\USBSafelyRemove.exe" [2008-02-05 1280512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UStorag"="c:\programmi\u-storage\ustorage.exe" [2004-09-01 335967]

"Stickies"="C:\Programmi\Stickies\stickies.exe" [2008-01-16 757760]

"SoundMAXPnP"="C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]

"Easy-PrintToolBox"="C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

"avgnt"="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]

"NBKeyScan"="C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]

"WallisDeskTopCal"="C:\Programmi\DesktopCalendar\DesktopCalendar.exe" [2007-01-02 659456]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-30 208952]

"UnlockerAssistant"="C:\Programmi\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]

"NeroFilterCheck"="C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"SpywareTerminator"="C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe" [2008-01-19 2834432]

"DrvIcon"="C:\Programmi\Vista Drive Icon\DrvIcon.exe" [2008-04-13 49152]

"DAEMON Tools-1033"="C:\Programmi\D-Tools\daemon.exe" [2004-08-22 81920]

"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2008-04-29 185896]

"lxddmon.exe"="C:\Programmi\Lexmark 2500 Series\lxddmon.exe" [2007-02-13 291760]

"lxddamon"="C:\Programmi\Lexmark 2500 Series\lxddamon.exe" [2007-02-06 20480]

"FaxCenterServer"="C:\Programmi\Lexmark Fax Solutions\fm3032.exe" [2007-02-13 312240]

"LXDDCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll" [2007-01-23 102400]

"TrueImageMonitor.exe"="C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]

"AcronisTimounterMonitor"="C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]

"Acronis Scheduler2 Service"="C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]

"CloneCDTray"="C:\Programmi\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"COMODO Firewall Pro"="C:\Programmi\COMODO\Firewall\cfp.exe" [2008-06-20 1655552]

"QuickTime Task"="C:\Programmi\QuickTime\QTTask.exe" [2008-05-27 413696]

"BugSoft AnyTrial"="C:\Programmi\AnyTrialControl\AnyTrialControl.exe" [2008-06-15 170302]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-30 44544]

C:\Documents and Settings\Ak71\Menu Avvio\Programmi\Esecuzione automatica\

No-IP DUC.lnk - C:\Programmi\No-IP\DUC20.exe [2007-03-23 1172992]

OpenOffice.org 2.4.lnk - C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\

Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Digisoft AntiDialer.lnk - C:\Programmi\Digisoft AntiDialer\AntiDialer.exe [2003-08-19 730112]

DSLMON.lnk - C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe [2007-10-04 929861]

InterVideo WinCinema Manager.lnk - C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-03-24 184320]

Monitor Apache Servers.lnk - C:\Lamp\Apache2\bin\ApacheMonitor.exe [2006-07-27 41042]

NkbMonitor.exe.lnk - C:\Programmi\Nikon\PictureProject\NkbMonitor.exe [2007-03-22 118784]

Orbit.lnk - C:\Programmi\Orbitdownloader\orbitdm.exe [2007-11-28 1707208]

Tasto di scelta rapida per l'avvio di AutoCAD.lnk - C:\Programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 11000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"disableregistrytoosl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ZDSV"= scrvid.dll

"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programmi\\Lexmark 2500 Series\\lxddamon.exe"=

"C:\\Programmi\\Orbitdownloader\\orbitnet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programmi\\eMule\\emule.exe"=

"C:\\Programmi\\Orbitdownloader\\orbitdm.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-09-06 368544]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-06-20 87056]

R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-06-20 24208]

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-01-19 138752]

R2 AnyTrial;BugSoft AnyTrial;C:\WINDOWS\AnyTrial.exe [2008-08-31 17408]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 DynDNS_Updater_Service;DynDNS Updater Service;C:\Programmi\DynDNS\DynDNS.exe [2006-09-17 1352704]

R2 lxdd_device;lxdd_device;C:\WINDOWS\system32\lxddcoms.exe [2007-02-13 537520]

R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]

R3 HSFHWCD2;HSFHWCD2;C:\WINDOWS\system32\DRIVERS\HSFHWCD2.sys [2004-08-10 201728]

R3 scrcap;scrcap;C:\WINDOWS\system32\DRIVERS\scrcap.sys [2006-12-27 9006]

S3 USTOR;U-Storage Controller;C:\WINDOWS\system32\DRIVERS\UStork.sys [2004-08-17 20218]

.

Contenuto della cartella 'Scheduled Tasks'

.

- - - - ORFÇOS REMOVIDOS - - - -

HKLM-Run-adiras - adiras.exe

MSConfigStartUp-2kadiras - 2kadiras.exe

MSConfigStartUp-9xadiras - 9xadiras.exe

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Ak71\Dati applicazioni\Mozilla\Firefox\Profiles\f82oafz0.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.it/

FF -: plugin - C:\Programmi\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programmi\Opera\program\plugins\npdivx32.dll

FF -: plugin - C:\Programmi\Real\Netscape6\nppl3260.dll

FF -: plugin - C:\Programmi\Real\Netscape6\nprjplug.dll

FF -: plugin - C:\Programmi\Real\Netscape6\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-10 18:35:50

Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo

Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]

"ImagePath"="\"C:\Lamp\MySQL\bin\mysqld-nt\" --defaults-file=\"C:\Lamp\MySQL\my.ini\" MySQL"

.

--------------------- DLLs Carregadas Sob os Processos em Execu‡Æo ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> C:\Programmi\Unlocker\UnlockerHook.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\Lamp\Apache2\bin\Apache.exe

C:\Programmi\COMODO\Firewall\cmdagent.exe

C:\Lamp\MySQL\bin\mysqld-nt.exe

C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\oodag.exe

C:\Lamp\Apache2\bin\Apache.exe

C:\Programmi\Raxco\PerfectDisk\PDAgent.exe

C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\Programmi\RealVNC\VNC4\winvnc4.exe

C:\Programmi\OpenOffice.org 2.4\program\soffice.exe

C:\Programmi\Orbitdownloader\orbitnet.exe

C:\Programmi\OpenOffice.org 2.4\program\soffice.bin

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

.

**************************************************************************

.

Ora fine scansione: 2008-09-10 18:48:23 - machine was rebooted

ComboFix-quarantined-files.txt 2008-09-10 16:47:56

Pre-Run: 42,717,196,288 byte disponibili

Post-Run: 42,684,928,000 byte disponibili

276 --- E O F --- 2008-09-10 07:21:33

Mentre passavo ComboFix SpywareTerminator era impazzito... mi segnalava gli script di combofix come trojan... sarà un falso posititvo...

PS: Ho trovato tre email che contengono virus, ne sono certo perchè su Php-it questi virus hanno fatto il giro e qualcuno se n'è accorto e li ha segnalati.... quindi le cancello... grazie!

Modificato September 10, 2008 da Alecos

[Steve75]

ok... come vanno le cose? il log l'ho guardato al volo che ho poco tempo...

[Alecos]

Stesso problema... spedisce mail senza che sia io a spedirle... punti di ripristino solo manuali... non c'è verso di farli creare in automatico! non so più dove sbattere la testa!

Modificato September 11, 2008 da Alecos

[Steve75]

prova a disinstallare e reinstallare Thunderbird

per i punti di ripristino, non credo sia dovuto a dei virus.. e per poter risolvere devi essere piu preciso... che errori ti da? sicuro di avere abbastanza spazio su disco? sicuro che lo spazio attribbuito al ripristino automatico sia sufficiente? se lo disattivi e lo attivi che succede? etc..etc..

[Alecos]

Oky provo a disinstallare e ad reinstallare thunderbird... vediamo quello che succede... quanto ai punti di ripristino... li crea correttamente quando il tool è invocato da altri software (esempio: Registry Mechanic crea un punto di ripristino prima di fare una riparazione al registro oppure installo un nuovo driver e allora il sistema crea un punto di ripristino)... il problema esiste quando riavvio la macchina (il PC) o la spengo perchè di solito ad ogni arresto della macchina viene creato un punto di ripristino chiamato "Punto di arresto del sistema" o simile... il problema è ancora più grave considerato che prima lo faceva regolarmente poi da un giorno all'altro i punti di arresto del sistema non funzionavano più nel senso che il sistema li creava però al ripristino non apportavano alcuna modifica al sistema... per quello che so un virus tenta sempre di disabilitare i punti di ripristino perchè se no si può recuperare il sistema portandolo ad un giorno in cui era "pulito" ed il virus sarebbe debellato. Il problema non va sottovalutato anche perchè avevo rimosso dei file sospetti e per evitare che si andassero ad annidare nei punti di ripristino ho cancellato tutti i punti di ripristino precedenti e poi ho fatto ripartire il servizio (Risorse del computer -> Proprietà -> Ripristino configurazione di sistema -> disattiva il ripristino su tutte le unità) quindi avendo azzerato i punti di ripristino lo spazio c'è ed è tanto e lo spazio riservato ai punti di ripristino è il 12% di 80 GB (nella mia configurazione). Cosa si può fare?

[Steve75]

hai mica un dualboot?

hai provato a fare una pulizia del disco?

PS__il fatto che non riuscivi a ripristinare il sistema , é cosa molto diffusa,a volte basta farlo dalla modalità provvisoria..

hai due antivirus? Avast e Antivir? vedi che allora i problemi in molti casi siamo noi a cercarceli ?

mai installare due antivirus residenti

[Alecos]

Si ma ho notato che i virus che mi trova Anti-Vir non me li trova avast e viceversa... almeno così tra tutti e due ho almeno più protezione e poi qual'è il migliore tra i due? Avast è leggero però si fa bucare spesso... antivir è più pesante... io preferirei avast tu che ne pensi?

[Steve75]

antivir é molto piu affidabile....

[Alecos]

Oky! Senti ho una strana cartella che se cancello viene rigenerata sempre e non capisco perchè... l'ultima operazione fatta era la consultazione della posta tramite Thunderbird2 e alle 17:24 spunta la cartella downloads in C:... la vedi anche nel log di ComboFix... questa maledetta cartella non riesco proprio ad eliminarla e pensare che non ho usato altri programmi negli utlimi due giorni... questa cartella (C:\Downloads) è da mesi sul mio xp e credo sia responsabile di qualche virus che si scarica in quella cartella o quanto meno malware potenzialmente dannoso... esiste un modo per sapere se questa cartella è creata da un processo specifico? Magari in automatico? Perchè ritieni antivir migliore? a me da anche falsi positivi antivir mentre avast ha la protezione mail residente... fammi sapare ciao e buon fine settimana!

hai mica un dualboot?

hai provato a fare una pulizia del disco?

PS__il fatto che non riuscivi a ripristinare il sistema , é cosa molto diffusa,a volte basta farlo dalla modalità provvisoria..

hai due antivirus? Avast e Antivir? vedi che allora i problemi in molti casi siamo noi a cercarceli ?

mai installare due antivirus residenti

pulizia intendi con CCleaner o con il tool della microsoft?

[Steve75]

per pulizia del disco intendo questo;

http://www.steven.altervista.org/vecchio%2...o/files/HD.html

poi per quanto riguarda la cartella da te citata, cos'ha al suo interno? sicuro che non sia legato ad un programma p2p?

[Alecos]

Quindi pulitura disco di windows... oky! Quanto alla cartella C:\downloads non ho programmmi P2P in avvio automatico e non li apro spesso anzi quasi mai quindi mi risulta alquanto improbabile che sia un programma p2p mentre invece avevo sentire dire di un virus che creava cartelle downloads in varie locazioni... nel mio caso protrebbe essere C:\downloads? o la ritieni cosa improbabile? Cmq ho notato che per adesso... non compare più quell'odioso messaggio con Thunderbird2... speriamo che duri... Grazie!

[Steve75]

parli del bagle, ma lui crea queste di cartelle;

down

downld

non downloads e non in C:

[Alecos]

No! Hai ragione tu... infatti la cartella C:\downloads è sparita! Bravo! Sembra proprio che tu abbia risolto magnificamente Senti... dopo combofix mi sono ritrovato l'autorun disabilitato su tutte le unità... sai mica come ripristinarlo? Prima funzionava così: inserivo un dvd e partiva la finestra di dialogo che mi chiedeva quale applicazione far partire... io mi trovavo bene così... magari combofix ha disabilitato l'autorun per evitare che dei virus si possano insediare mediante autorun dei dati IMHO... poi se mi risolvi anche come far creare i punti di ripristino in automatico e parlo dei "Punti di arresto del sistema"... siamo a cavallo

[Steve75]

hai fatto la manutenzione del disco ? 

ma i punti di ripristino li crea e no?

per l'autorun, inserisci il cd,vai in risorse del computer, tx destro sul lettore che ospita il cd, scegli proprietà e li troverai il tab autostart, seleziona l'opzione che piu ti conviene 

[Alecos]

Grazie ma... il tab AutoPlay non funzionava perchè ho nel registro delle key non valide... per fortuna ho trovato in giro delle key di registro che hanno risolto subito il problema (vedi allegato)... rimane il problema dei punti di ripristino... vorrei, che come a tutti, quando si spegne il pc, venga creato un punto di arresto del sistema mentre da me non viene creato e viene creato un punto di ripristino solo in queste circostanze:

1) Installazione software

2) Installazione driver

I famosi punti di arresto non ci sono però sono validissimi i punti di ripristino creati:

1) da software

2) manualmente

3) da installer/uninstaller

e funzionano perfettamente però proprio non ne vuole sapere di creare i famosi "Punti di arresto" però sono riuscito a pianificare dei punti di ripristino mediante script vbs invocato da Operazioni Pianificate che ogni due ore mi crea un punto di ripristino a partire dalla ore 9:00 del mattino... però mi piacerebbe che lo facesse automaticamente il sistema... Grazie per il tuo aiuto... hai fatto tantissimo per me... grazie ancora!

Ahhh dimenticavo di dirti che ho fatto la pulizia del disco con il tool della microsoft (Pulitura Disco) e mi ha trovato 0 bytes da rimuovere in tutte le locazioni... forse perchè avevo già fatto la pulizia con CCleaner... Resta solo il prob dei "punti di arresto" non creati... Grazie ancora per quello che fai

EnableAutoPlay.zip

Modificato September 20, 2008 da angelique
unito post consecutivi

[Steve75]

l'importante é che crea i punti di ripristino ....