ragazzi qualcuno mi aiuti....ho un problema da quando sn tornato dalle vacanze, in pratica ho un virus ke ad un certo punto mentre avvio il pc mi da un errore a svchost.exe oppure explorer.exe con annesso messaggio "la memoria non puoò essere written", e poi nn m si apre + la taskmanager, o cmq dopo aver premuto ctrl+alt+canc, compare dopo 1 minuto, oppure nn m apre + le cartelle, oppure i programmi, va via l'audio un casino e devo solo RESETTARE....
ho scansionato con NOD32 e m ha trovato parecchi TROJIAN nella dir System32.....gli altri li ha debellati quello ke resta imperterrito è WIN32/POEBOT
nod mi trova il virus Win32/Poebot
http://img170.imageshack.us/img170/4416/win32paobotnv9.jpg

img dell errore svchost.exe:
http://img246.imageshack.us/img246/8871/appunti01kt0.jpg
e mi è uscito anche come errore di Explorer.EXE

sono 3 giorni ke cerco d risolvere sto prob, ho anche seguito la guida di ERASER...ma niente :(

ho controllato il log di Hijackthis ma è pulitissimo....l'ho anche postato nel 3d ufficiale qui sul forum

ho provato ad installare un nuovo Windows ma niente, dopo ke ho attivato internet dopo un po è rinato il problema

ora ho provato anche a formattare completamente la partizione C: (dovè il SO) ma ora è appena rinato l'errore Explorer.EXE :cry: come quello di svchost d sopra....ed ora si è perso l'audio del sistema....


questi sono i programmi ke ho usato:
NOD32, MCafee, Kaspersky, Bit Defender, Spyboy S&D, Xoft Spy, ewid-antimalware 4, Hijackthis, Stinger, Dr.Web CureIT, PREVX, VirusBuster, .... :muro: :muro:



datemi una mano vi prego

NOD32, MCafee, Kaspersky, Bit Defender, Spyboy S&D, Xoft Spy, ewid-antimalware 4, Hijackthis, Stinger, Dr.Web CureIT, PREVX, VirusBuster, ....

azz. hai provato fior di programmi. mi sento di dirti di aggiornare windows e di provare un'altro AV come avast e come AS spyware terminator e superantispyware.
;)

Ma dopo aver formattato il problema persiste? :mbe:
Sicuro che non sia un problema hardware?
Kaspersky non ti ha trovato nulla?
Mica ti ritrovi un nuovo account nascosto nalla cartella c:\documents and settings, o dei file cittografati in c:\programmi\file comuni\system o in c:\programmi\file comuni\microsoft shared?
Scusami se ti faccio tante domande ma il tuo problema è strano :boh:

ora sto provando anche l'antivirus AVG

mi manca solo Avast ed ho finito (nn kiedetemi di mettere norton, assolutamente)


@kmarraff: si anche dopo aver formattato la partizione C:!

no nessun nuovo utente in documents and settings (neanche nascosto), solo administrator, all user, default user e il mio....

nelle cartelle ke m hai citato (c:\programmi\file comuni\system e c:\programmi\file comuni\microsoft shared) ci sono delle cartelle e dei files, come faccio a capire se sn cittografati? scusami nn m sn mai trovato davanti questo necessità ;)

...
@kmarraff: si anche dopo aver formattato la partizione C:!

no nessun nuovo utente in documents and settings (neanche nascosto), solo administrator, all user, default user e il mio....

nelle cartelle ke m hai citato (c:\programmi\file comuni\system e c:\programmi\file comuni\microsoft shared) ci sono delle cartelle e dei files, come faccio a capire se sn cittografati? scusami nn m sn mai trovato davanti questo necessità ;)
I file che ti chiedo di vedere devono essere eseguibili e hanno il nome in verde per vedere ci clicchi con il tasto destro del mause-> proprietà-> avanzate ci dovrebbe essere la spunta su cittografa... è solo per vedere se ti sei beccato LinkOptimizer uno dei malware più tosti che circola al momento, anche se i tuoi sintomi sono diversi :rolleyes: :stordita: :fagiano:

comunque dubito che avast e spyware terminator risolvano il problema!

I file che ti chiedo di vedere devono essere eseguibili e hanno il nome in verde per vedere ci clicchi con il tasto destro del mause-> proprietà-> avanzate ci dovrebbe essere la spunta su cittografa... è solo per vedere se ti sei beccato LinkOptimizer uno dei malware più tosti che circola al momento, anche se i tuoi sintomi non diversi :rolleyes: :stordita: :fagiano:

comunque dubito che avast e spyware terminator risolvano il problema!


no no nn cè niente di tutto ciò :D....
si linkoptimizer lo conosco l'ho preso un paio d volte mooolto tempo fa quando viaggiavo un po scoperto

no no nn cè niente di tutto ciò :D....
si linkoptimizer lo conosco l'ho preso un paio d volte mooolto tempo fa quando viaggiavo un po scoperto
Ma qualche antivirus ti rileva del malware o non ti trovano nulla? :mbe:

Ma qualche antivirus ti rileva del malware o non ti trovano nulla? :mbe:
se faccio una scansione qualunque antivius nn m trova NULLA

solo nod32 ke ho fisso attivo, ogni tanto mi rileva quel worm win32 poebot nella cartella system32 ogni volta sotto un exe con un nome diverso, lo cancella e poi dopo un po d tempo nn determinato ricompare.....

Quello che ti specifica Nod32 è un trojan, il tuo firewall non ti rileva azioni sospette da parte di file?
Prova a fare una scansione con gmer e posta il log lo puoi scaricare qui: http://www.gmer.net/gmer110.zip
scarica sul desktop GMER http://www.gmer.net/gmer110.zip
scompatta, sul desktop il file gmer.zip.
Esegui gmer.exe-> clicca sul tab "rootkit"-> clicca su "scan" finita la scansione -> clicca su "copy"-> apri il Blocco Note incolla il risultato

esegui gmer.exe-> clicca sul tab "autostart"-> clicca su "scan" finita la scansione clicca su "copy"-> apri il Blocco Note incolla il risultato

Quello che ti specifica Nod32 è un trojan, il tuo firewall non ti rileva azioni sospette da parte di file?
Prova a fare una scansione con gmer e posta il log lo puoi scaricare qui: http://www.gmer.net/gmer110.zip
scarica sul desktop GMER http://www.gmer.net/gmer110.zip
scompatta, sul desktop il file gmer.zip.
Esegui gmer.exe-> clicca sul tab "rootkit"-> clicca su "scan" finita la scansione -> clicca su "copy"-> apri il Blocco Note incolla il risultato

esegui gmer.exe-> clicca sul tab "autostart"-> clicca su "scan" finita la scansione clicca su "copy"-> apri il Blocco Note incolla il risultato

ok ora lo faccio

cmq attenzione è appena comparso un nuovo virus ke era comparso una sola volta fin ora prima di formattare! Win32/Virut.5127
http://img310.imageshack.us/img310/205/winvirusye5.jpg

ecco i log di GMER

ROOTKIT
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-27 20:49:45
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.10 ----

SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwAllocateVirtualMemory
SSDT d347bus.sys ZwClose
SSDT sptd.sys ZwCreateKey
SSDT d347bus.sys ZwCreatePagingFile
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwCreateThread
SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwMapViewOfSection
SSDT sptd.sys ZwOpenKey
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwProtectVirtualMemory
SSDT sptd.sys ZwQueryKey
SSDT sptd.sys ZwQueryValueKey
SSDT d347bus.sys ZwSetSystemPowerState
SSDT sptd.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwShutdownSystem
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwWriteVirtualMemory

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 867A6708
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 862C6EB0
Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F78C0220] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSEIRP_MJ_READ [F78C0480] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F78C05A0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F78C05D0] wpsdrvnt.sys
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CREATE 867A60E8
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CREATE 867A60E8
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CREATE 867A60E8
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CREATE 867A60E8
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F78C0220] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSEIRP_MJ_READ [F78C0480] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F78C05A0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F78C05D0] wpsdrvnt.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 867A72B0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 867A72B0
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSEIRP_MJ_READ 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA 863B30E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_PNP 863B30E8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSEIRP_MJ_READ 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 86264AD8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP_POWER 86264AD8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 86479708
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 86479708
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F78C0220] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSEIRP_MJ_READ [F78C0480] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F78C05A0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [F78C05D0] wpsdrvnt.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{69145364-402F-4436-892D-D9919BBBE49C} IRP_MJ_CREATE 86479708
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 867A6940
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F78C0220] wpsdrvnt.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSEIRP_MJ_READ [F78C0480] wpsdrvnt.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F78C05A0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [F78C05D0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F78C0220] wpsdrvnt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSEIRP_MJ_READ [F78C0480] wpsdrvnt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F78C05A0] wpsdrvnt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_SHUTDOWN [F78C05D0] wpsdrvnt.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSEIRP_MJ_READ 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 86395738
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP_POWER 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSEIRP_MJ_READ 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 86395738
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP_POWER 86395738
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSEIRP_MJ_READ 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION 8646E428
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_EA 8646E428
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 867A72B0
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE 863CA6A0
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CLOSEIRP_MJ_READ 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_WRITE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_EA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_EA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SHUTDOWN 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CLEANUP 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_SECURITY 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_POWER 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_QUOTA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_PNP 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_PNP_POWER 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_NAMED_PIPE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLOSEIRP_MJ_READ 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_WRITE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_EA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_EA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FLUSH_BUFFERS 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_VOLUME_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_VOLUME_INFORMATION 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DIRECTORY_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FILE_SYSTEM_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_INTERNAL_DEVICE_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SHUTDOWN 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_LOCK_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLEANUP 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_MAILSLOT 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_SECURITY 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_SECURITY 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_POWER 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SYSTEM_CONTROL 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CHANGE 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_QUOTA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_QUOTA 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP 86265420
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP_POWER 86265420
Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE 862C6EB0
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 863CEAE8

---- Files - GMER 1.0.10 ----

File D:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----



===================================================


AUTOSTART
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-27 20:50:17
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
NOD32krn /*NOD32 Kernel Service*/@ = "C:\Programmi\Eset\nod32krn.exe"
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\System32\nvsvc32.exe
SmcService /*Sygate Personal Firewall Pro*/@ = C:\Programmi\Sygate\SPF\smc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
@nod32kui"C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE = "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
@SmcServiceC:\PROGRA~1\Sygate\SPF\smc.exe -startgui = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@MsnMsgr = "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\System32\nvcpl.dll = C:\WINDOWS\System32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\System32\nvcpl.dll = C:\WINDOWS\System32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{B089FE88-FB52-11d3-BDF1-0050DA34150D} /*NOD32 Context Menu Shell Extension*/C:\Programmi\Eset\nodshex.dll = C:\Programmi\Eset\nodshex.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11d3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
NOD32 Context Menu Shell Extension@{B089FE88-FB52-11d3-BDF1-0050DA34150D} = C:\Programmi\Eset\nodshex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{53707962-6F74-2D53-2644-206D7942484F} = C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

HKCU\Control Panel\[email protected] = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{69145364-402F-4436-892D-D9919BBBE49C} /*Connessione alla rete locale (LAN) 2*/ >>>
@IPAddress192.168.0.104 = 192.168.0.104
@NameServer192.168.0.1 = 192.168.0.1
@DefaultGateway192.168.0.1 = 192.168.0.1
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = imon.dll
000000000002@PackedCatalogItem = imon.dll
000000000003@PackedCatalogItem = imon.dll
000000000004@PackedCatalogItem = imon.dll
000000000005@PackedCatalogItem = imon.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011@PackedCatalogItem = imon.dll

---- EOF - GMER 1.0.10 ----

E' inutile avere un antivirus aggiornato se hai il sistema operativo pieno di buchi per me il problema principale e che devi installare il Service Pack 2 con le rispettive patch successive!
Ma prima ti consiglio di scaricarti la versione trial del kav disattiva il ripristino configurazione di sistema, vai in modalità provvisoria ed elimina il file che si trova in c:\windows\system32 con nome insjg.exe fai una scansione con nod e kav e un anti spyware, poi installa il Service Pack 2

E' inutile avere un antivirus aggiornato se hai il sistema operativo pieno di buchi per me il problema principale e che devi installare il Service Pack 2 con le rispettive patch successive!
Ma prima ti consiglio di scaricarti la versione trial del kav disattiva il ripristino configurazione di sistema, vai in modalità provvisoria ed elimina il file che si trova in c:\windows\system32 con nome insjg.exe fai una scansione con nod e kav e un anti spyware, poi installa il Service Pack 2

una scansione con kab l'avrei gia fatta veramente :p solo ke nn in mod provvisoria....poi cmq quel file ke vedi è una delle tantiiiiiiiiiissime varianti....cioè voglio dire se ora lo cancello tra un po d tempo puuuf prende e ricompare sotto un altro nome...ecco infatti ora sn andato a vedere se c'è e nn lho trovato, evidentemente nod l'avrà già cancellato...ma durerà poco

ps: io so/sapevo ke con il service pack 2 si incontrano parecchi inconveniente, vedi incompatibilità con periferiche virtuali, vedi numero massimo di connessioni simultanee...........

una scansione con kab l'avrei gia fatta veramente :p solo ke nn in mod provvisoria....poi cmq quel file ke vedi è una delle tantiiiiiiiiiissime varianti....cioè voglio dire se ora lo cancello tra un po d tempo puuuf prende e ricompare sotto un altro nome...ecco infatti ora sn andato a vedere se c'è e nn lho trovato, evidentemente nod l'avrà già cancellato...ma durerà poco

ps: io so/sapevo ke con il service pack 2 si incontrano parecchi inconveniente, vedi incompatibilità con periferiche virtuali, vedi numero massimo di connessioni simultanee...........
...e soprattutto l'intrufolarsi di trojan di continuo per i buchi che ha il sistema, è normale che ti ritrovi virus che sfruttano le vulnerabilità del sistema non lamentarti allora... :muro:
...io altro non so ti ho consigliato quello che avrei fatto al posto tuo io non ho mai avuto problemi con il service pack 2 :boh:

...e sopratutto lintrufolarsi di trojan di continuo per i buchi che ha il sistema, è normale che ti ritrovi virus che sfruttano le vulnerabilità del sistema non lamenterti allora... :muro:
...io altro non so ti ho consigliato quello che avrei fatto al posto tuo io non ho mai avuto problemi con il service pack 2 :boh:
neanche con le periferiche virtuali tipo daemon tools?

Io ho installato Alcohol 120%, daemon tools*, e nero 7!!!
Tutti e tre usano periferiche virtuali!
*Attento a daemon tools che installa uno spayware, dalla versione 4.0 in poi, durante l'installazione il kav lo rileva il tuo nod non so :Prrr:

Io ho installato Alcohol 120%, daemon tools*, e nero 7!!!
Tutti e tre usano periferiche virtuali!
*Attento a daemon tools che installa uno spayware, dalla versione 4.0 in poi, durante l'installazione il kav lo rileva il tuo nod non so :Prrr:

perfetto, provvederò a metterlo


ora m hanno fatto installare come antivirus AntiVir Personal edition

Antivir è un ottimo antivirus ma se lo devi cambiar con nod32 senza togliere niente ad antivir io al posto tuo rimarrei con il nod, secondo me non si possono paragonare :read:

Antivir è un ottimo antivirus ma se lo devi cambiar con nod32 senza togliere niente ad antivir io al posto tuo rimarrei con il nod, secondo me non si possono paragonare :read:

azz davvero? mentre la persona ke me lha consigliato ha fatto una merda nod! :(
il mio povero nod si è offeso :cry:

ragazzi sentire ho fatto bene ke ho dato il permesso su sygate a questi programmi?


http://img96.imageshack.us/img96/5422/sygateld3.jpg

ciao, non ho letto tutti i post, ma ho avuto lo stesso problema e l'ho risolto: quando attacchi intenret per la prima volta qualcuno ti contatta svchost.exe, ti inietta quel virus che fa da downloader per altri virus: quindi fa come ho fatto io, formatta tutto, installa sygate prima di andare su internet, poi l'antivirus scarica gli aggiornamenti di windows.

ciao, non ho letto tutti i post, ma ho avuto lo stesso problema e l'ho risolto: quando attacchi intenret per la prima volta qualcuno ti contatta svchost.exe, ti inietta quel virus che fa da downloader per altri virus: quindi fa come ho fatto io, formatta tutto, installa sygate prima di andare su internet, poi l'antivirus scarica gli aggiornamenti di windows.

eheheeh

stessissima ed identica cosa ke ho fatto io credimi

la formattazione prima di questa ho fatto l'errore di installare il firewall subito dopo aver messo internet e tac si è intrufolato....

xò dimmi una cosa, tu hai il service pack 1 oppure 2?

il due. a proposito, il tuo ip è 82*.*.*? lo chiedo perché ho aperto questo
http://www.hwupgrade.it/forum/showthread.php?t=1268984

quando ti beccavi il virus, ti veniva fuori anche una finestra che ti diceva "your system registry is corrupted. download " etc...?

si il mio IP è 82.......
xò quell errore nn m è mai uscito

non è un errore, è spam