www.MegaLab.it

[vegnone23]

Buonasera
mi occupo della sicurezza del notebook di mia sorella, navigatrice alle prime armi che raccatta monnezza dovunque navighi, col risultato che si aprono continuamente pagine web di pubblicità di siti, di scommesse, di giochi online e di vari altri tipi.
ho dato una passata con ccleaner ma non è cambiato nulla, come mi aspettavo: cosa devo usare?

grazie della disponibilità!!

[tecnico24]

Ciao
Per prima cosa , scaricati Hijackthis
Salvalo , estrailo , aprilo e clicca su "Do a system scan e save logfile".
Dopo aver finito , allega il log che ti è uscito sul forum con la seguente guida.

Poi controlla al pannello di controllo>installazione applicazioni se c'è una voce collegata a messenger plus e allo sponsor(CiD).

[vegnone23]

Ciao
Per prima cosa , scaricati Hijackthis
Salvalo , estrailo , aprilo e clicca su "Do a system scan e save logfile".
Dopo aver finito , allega il log che ti è uscito sul forum con la seguente guida.

Poi controlla al pannello di controllo>installazione applicazioni se c'è una voce collegata a messenger plus e allo sponsor(CiD).

eccolo qua

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.18.10, on 11/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
c:\programmi\avira\antivir desktop\avcenter.exe
C:\Programmi\Avira\AntiVir Desktop\update.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Live\Toolbar\wltuser.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kasperskyitalia.it/servizi/k ... nicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-US/a-U ... E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A59242F4-7B8C-4504-8DD2-499747D3931F}: NameServer = 85.37.17.5 85.38.28.77
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 8278 bytes

chiaramente c'è anche questo Cid, che a regola mia sorella ha inavvertitamente installato accettando l'installazione di messenger plus
immagino di doverlo disinstallare giusto?

[ste_95]

Possiamo passare direttamente a ComboFix di modo da rimuovere direttamente l'infezione.

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:

Codice: Seleziona tutto

[LOG]qui va inserito il log[/LOG]

[tecnico24]

Oltre alle operazioni consigliate da Ste_95 , disinstalla anche quello sponsor...le pubblicità dipendono anche da esso.

[vegnone23]

allora
ecco qui il log di combofix

ComboFix 09-11-11.02 - ilaria 11/11/2009 21.31.27.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1015.533 [GMT 1:00]
Eseguito da: c:\documents and settings\ilaria\Desktop\gino.exe
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\ilaria\Impostazioni locali\Dati applicazioni\sufbwv.dat
c:\documents and settings\ilaria\Impostazioni locali\Dati applicazioni\sufbwv_nav.dat
c:\documents and settings\ilaria\Impostazioni locali\Dati applicazioni\sufbwv_navps.dat
c:\recycler\S-1-5-21-3849886930-3926732281-1373199100-500
c:\windows\Fonts\mushu.ttf
c:\windows\kb913800.exe
c:\windows\system32\hrmhjy.dat
c:\windows\system32\hrmhjy_navps.dat
c:\windows\system32\nvs2.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-10-11 al 2009-11-11 )))))))))))))))))))))))))))))))))))
.

2009-11-11 20:17 . 2009-11-11 20:17 -------- d-----w- c:\programmi\Trend Micro
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\windows\LastGood
2009-11-11 20:07 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-11 20:07 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-11 20:07 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-11 20:07 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\programmi\Avira
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2009-11-11 19:41 . 2009-11-11 19:41 -------- d-----w- c:\programmi\VS Revo Group
2009-11-11 19:05 . 2009-11-11 19:05 -------- d-----w- c:\programmi\CCleaner
2009-11-07 20:44 . 2009-11-07 20:44 294912 ----a-w- c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\upload rect bin.exe
2009-11-07 20:44 . 2009-11-07 20:44 278528 ----a-w- c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\WarnSettingsUpMpeg.exe
2009-11-07 20:44 . 2009-11-11 19:58 753664 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About\grey this.exe
2009-11-07 20:44 . 2009-11-07 20:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About
2009-11-07 20:44 . 2009-11-07 20:44 749568 ----a-w- c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\ofubzhkq.exe
2009-11-07 20:44 . 2009-11-07 20:44 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\THE GREAT
2009-11-07 20:44 . 2009-11-07 20:44 -------- d-----w- c:\programmi\THE GREAT
2009-11-07 20:44 . 2009-11-07 20:43 532480 ----a-w- c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\DEFYBENDEACH.exe
2009-11-07 20:43 . 2009-11-07 20:43 -------- d-----w- c:\programmi\Cicle Developement
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\HiYo
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\programmi\HiYo
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\HiYo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-11 19:55 . 2007-07-20 09:09 -------- d-----w- c:\programmi\Alice ti aiuta
2009-11-07 20:43 . 2009-03-21 18:31 -------- d-----w- c:\programmi\Messenger Plus! Live
2009-11-04 19:26 . 2008-12-25 13:38 -------- d-----w- c:\programmi\Windows Live Safety Center
2009-10-25 10:46 . 2004-10-25 18:40 84702 ----a-w- c:\windows\system32\perfc010.dat
2009-10-25 10:46 . 2004-10-25 18:40 489980 ----a-w- c:\windows\system32\perfh010.dat
2009-10-09 17:29 . 2009-10-09 17:29 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\ArcSoft
2009-10-09 17:28 . 2009-10-09 17:28 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\EPSON
2009-10-09 17:27 . 2009-10-09 17:27 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\InterTrust
2009-10-09 17:27 . 2008-05-19 20:41 -------- d-----w- c:\programmi\File comuni\Adobe
2009-10-09 17:26 . 2009-10-09 17:26 -------- d-----w- c:\programmi\ArcSoft
2009-10-09 17:26 . 2006-10-24 23:20 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-10-09 17:25 . 2009-10-09 17:25 -------- d-----w- c:\programmi\File comuni\Python
2009-10-09 17:24 . 2009-10-09 17:21 -------- d-----w- c:\programmi\EPSON
2009-09-16 18:54 . 2008-12-25 13:45 -------- d-----w- c:\programmi\Windows Live
2009-09-11 14:17 . 2004-10-25 18:38 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2004-10-25 18:38 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:56 . 2004-10-25 18:39 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-28 17:46 . 2006-10-24 23:35 61264 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-08-26 08:00 . 2004-10-25 18:40 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-14 15:12 . 2004-10-25 18:39 1850624 ----a-w- c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-12-08 975360]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-09-07 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-09-07 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-09-07 455168]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-05-12 774233]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-08-14 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-08-14 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-08-14 94208]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Alice ti aiuta.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Alice ti aiuta.lnk
backup=c:\windows\pss\Alice ti aiuta.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Kodak EasyShare software.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Kodak EasyShare software.lnk
backup=c:\windows\pss\Kodak EasyShare software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\APPS\\skype\\phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 d346bus;d346bus;c:\windows\system32\drivers\d346bus.sys [05/06/2007 17.38.24 156800]
R0 d346prt;d346prt;c:\windows\system32\drivers\d346prt.sys [05/06/2007 17.38.24 5248]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programmi\Avira\AntiVir Desktop\sched.exe [11/11/2009 21.07.42 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [20/03/2009 19.12.10 54752]
R3 SynMini;USB2.0 VGA WebCam;c:\windows\system32\drivers\SynMini.sys [25/10/2006 0.20.01 1056512]
R3 SynScan;USB2.0 VGA WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [25/10/2006 0.20.02 8064]
S3 fsssvc;Servizio Windows Live Family Safety;c:\programmi\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21.48.42 704864]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenuto della cartella 'Scheduled Tasks'

2009-11-11 c:\windows\Tasks\B92C1551914B8D3D.job
- c:\docume~1\ilaria\datiap~1\thegre~1\upload rect bin.exe [2009-11-07 20:44]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyServer = 192.168.1.1:80
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
TCP: {A59242F4-7B8C-4504-8DD2-499747D3931F} = 85.37.17.5 85.38.28.77
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-11 21:40
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86A472F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86a472f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
Ora fine scansione: 2009-11-11 21.42.09
ComboFix-quarantined-files.txt 2009-11-11 20:42

Pre-Run: 67.406.979.072 byte disponibili
Post-Run: 71.296.786.432 byte disponibili

- - End Of File - - 4C101A1C79E4DAB5CA2809545F7F3E54

ho anche rimosso approfonditamente il programma sponsor con Revo uninstaller

[ste_95]

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

[vegnone23]

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

ste non c'è nessun log chiamato in quel modo, ci sono 6 file di testo "Combofix" "DWNLOG" "SAUDIT" "error" "playout" "WinXerror"

[Amantide]

Dopo aver eseguito MBR Fix consigliato da ste, dovrai anche eliminare un altro po' di schifezze.

Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.

Codice: Seleziona tutto

File::
c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\upload rect bin.exe
c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\WarnSettingsUpMpeg.exe
c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About\grey this.exe
c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\ofubzhkq.exe
c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\DEFYBENDEACH.exe
c:\windows\Tasks\B92C1551914B8D3D.job

Folder::
c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About
c:\documents and settings\ilaria\Dati applicazioni\THE GREAT
c:\programmi\THE GREAT
c:\programmi\Cicle Developement


Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.

[Amantide]

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

ste non c'è nessun log chiamato in quel modo, ci sono 6 file di testo "Combofix" "DWNLOG" "SAUDIT" "error" "playout" "WinXerror"

Il file mbr.log dovrebbe trovarsi nella stessa directory di file mbr.exe, controlla meglio e caso mai riesegui il comando. Non scordare che mbr.exe dovrebbe essere salvato in C:\

[vegnone23]

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

ste non c'è nessun log chiamato in quel modo, ci sono 6 file di testo "Combofix" "DWNLOG" "SAUDIT" "error" "playout" "WinXerror"

Il file mbr.log dovrebbe trovarsi nella stessa directory di file mbr.exe, controlla meglio e caso mai riesegui il comando. Non scordare che mbr.exe dovrebbe essere salvato in C:\

ecco, adesso l'ho eseguito manualmente dal file exe ed è venuto fuori il log, prima non so perché lo facevo partire da esegui

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mentre questo è il log "aggiornato" di combofix

ComboFix 09-11-11.02 - ilaria 11/11/2009 22.05.20.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1015.545 [GMT 1:00]
Eseguito da: c:\documents and settings\ilaria\Desktop\gino.exe
Opzioni usate :: c:\documents and settings\ilaria\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About\grey this.exe"
"c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\DEFYBENDEACH.exe"
"c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\ofubzhkq.exe"
"c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\upload rect bin.exe"
"c:\documents and settings\ilaria\Dati applicazioni\THE GREAT\WarnSettingsUpMpeg.exe"
"c:\windows\Tasks\B92C1551914B8D3D.job"
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Dati applicazioni\Roam Program Comp About

.
((((((((((((((((((((((((( Files Creati Da 2009-10-11 al 2009-11-11 )))))))))))))))))))))))))))))))))))
.

2009-11-11 20:55 . 2009-11-11 20:55 77312 ----a-w- C:\mbr.exe
2009-11-11 20:29 . 2009-11-11 20:42 -------- d-----w- C:\gino
2009-11-11 20:17 . 2009-11-11 20:17 -------- d-----w- c:\programmi\Trend Micro
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\windows\LastGood
2009-11-11 20:07 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-11 20:07 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-11 20:07 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-11 20:07 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\programmi\Avira
2009-11-11 20:07 . 2009-11-11 20:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2009-11-11 19:41 . 2009-11-11 19:41 -------- d-----w- c:\programmi\VS Revo Group
2009-11-11 19:05 . 2009-11-11 19:05 -------- d-----w- c:\programmi\CCleaner
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\HiYo
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\programmi\HiYo
2009-10-26 20:01 . 2009-10-26 20:01 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\HiYo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-11 19:55 . 2007-07-20 09:09 -------- d-----w- c:\programmi\Alice ti aiuta
2009-11-04 19:26 . 2008-12-25 13:38 -------- d-----w- c:\programmi\Windows Live Safety Center
2009-10-25 10:46 . 2004-10-25 18:40 84702 ----a-w- c:\windows\system32\perfc010.dat
2009-10-25 10:46 . 2004-10-25 18:40 489980 ----a-w- c:\windows\system32\perfh010.dat
2009-10-09 17:29 . 2009-10-09 17:29 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\ArcSoft
2009-10-09 17:28 . 2009-10-09 17:28 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\EPSON
2009-10-09 17:27 . 2009-10-09 17:27 -------- d-----w- c:\documents and settings\ilaria\Dati applicazioni\InterTrust
2009-10-09 17:27 . 2008-05-19 20:41 -------- d-----w- c:\programmi\File comuni\Adobe
2009-10-09 17:26 . 2009-10-09 17:26 -------- d-----w- c:\programmi\ArcSoft
2009-10-09 17:26 . 2006-10-24 23:20 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-10-09 17:25 . 2009-10-09 17:25 -------- d-----w- c:\programmi\File comuni\Python
2009-10-09 17:24 . 2009-10-09 17:21 -------- d-----w- c:\programmi\EPSON
2009-09-16 18:54 . 2008-12-25 13:45 -------- d-----w- c:\programmi\Windows Live
2009-09-11 14:17 . 2004-10-25 18:38 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2004-10-25 18:38 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:56 . 2004-10-25 18:39 916480 ------w- c:\windows\system32\wininet.dll
2009-08-28 17:46 . 2006-10-24 23:35 61264 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-08-26 08:00 . 2004-10-25 18:40 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-14 15:12 . 2004-10-25 18:39 1850624 ----a-w- c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-12-08 975360]
"updateMgr"="c:\programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-09-07 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-09-07 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-09-07 455168]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-05-12 774233]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-08-14 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-08-14 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-08-14 94208]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Alice ti aiuta.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Alice ti aiuta.lnk
backup=c:\windows\pss\Alice ti aiuta.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Kodak EasyShare software.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Kodak EasyShare software.lnk
backup=c:\windows\pss\Kodak EasyShare software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\APPS\\skype\\phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 d346bus;d346bus;c:\windows\system32\drivers\d346bus.sys [05/06/2007 17.38.24 156800]
R0 d346prt;d346prt;c:\windows\system32\drivers\d346prt.sys [05/06/2007 17.38.24 5248]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programmi\Avira\AntiVir Desktop\sched.exe [11/11/2009 21.07.42 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [20/03/2009 19.12.10 54752]
R3 SynMini;USB2.0 VGA WebCam;c:\windows\system32\drivers\SynMini.sys [25/10/2006 0.20.01 1056512]
R3 SynScan;USB2.0 VGA WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [25/10/2006 0.20.02 8064]
S3 fsssvc;Servizio Windows Live Family Safety;c:\programmi\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21.48.42 704864]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyServer = 192.168.1.1:80
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
TCP: {A59242F4-7B8C-4504-8DD2-499747D3931F} = 85.37.17.5 85.38.28.77
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(732)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
Ora fine scansione: 2009-11-11 22.12.44
ComboFix-quarantined-files.txt 2009-11-11 21:11
ComboFix2.txt 2009-11-11 20:42

Pre-Run: 71.281.979.392 byte disponibili
Post-Run: 71.250.391.040 byte disponibili

- - End Of File - - 0524B6814F41BBCE3AAEADC1999860FE

[Amantide]

Ora il pc sembra essere pulito

[vegnone23]

Ora il pc sembra essere pulito

ok, grazie!! (anche a nome di mia sorella)
devo fare qualche verifica finale?

[tecnico24]

Ora il pc sembra essere pulito

ok, grazie!! (anche a nome di mia sorella)
devo fare qualche verifica finale?

Ti consiglio di fare pulizie quotidiane con programmi adatti , tipo Ccleaner , Atf Cleaner , Tune-up per mantenere il pc in forma e scansioni antivirus ogni mesetto...il pc va mantenuto pulito non solo di virus , ma anche di file inutili e chiave obsolete...ciao.

[vegnone23]

Ora il pc sembra essere pulito

ok, grazie!! (anche a nome di mia sorella)
devo fare qualche verifica finale?

Ti consiglio di fare pulizie quotidiane con programmi adatti , tipo Ccleaner , Atf Cleaner , Tune-up per mantenere il pc in forma e scansioni antivirus ogni mesetto...il pc va mantenuto pulito non solo di virus , ma anche di file inutili e chiave obsolete...ciao.

eh già, lo so bene, ma la testona di cui sopra vuole sempre fare come gli pare finchè non mi trovo a dover usare io il suo pc e rischio l'infarto

grazie davvero della vostra sempre puntualissima collaborazione

saluti!