Persone che hanno già contribuito:
Lancetta
Riverside
Chill-Out
Bugs Bunny

Stato attuale del post( con tutte le modifiche suggerite e le istruzioni inserite dal "team anti-bagle" :D)

AVVISO: AL FINE DI MANTENERE LA DISCUSSIONE PIU' ORDINATA,I RAPPORTI ED I LOGFILE CARICATELI SU http://www.zshare.net/ E POSTATE IL LINK


Come si propaga e come agisce questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file(molto spesso si chiamava trusted.exe) crea vari files(eseguibili e drivers) ,principalmente localizzati nella directory di windows.
Uno di essi, hidr.exe che nelle prime varianti si trovava in Documents and settings/nomeutente/dati applicazioni/hidires(cartella creata dal malware) e nelle ultime si posiziona in /windows/system32,ha la funzione di terminare e cancellare tutti gli eseguibili di software di sicurezza come antivirus.

Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si ricevera una bella schermata blu :D

Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si
possono visualizzare tramite esplora risorse.

Come vedere se si è infetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso come hidr.exe(che è presente in tutte le varianti)

Procedura di rimozione.

1) disattivazione ripristino conf di sys:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2) Utilizzo di elibagla (remover tool spagnolo): dopo essere andati su QUESTA (http://www.zonavirus.com/datos/desca...5/elibagla.asp) scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
Usate Elibagla in modalità provvisoria,se funziona.

3)Usare avenger: DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\data.oct
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\flec006.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

Nel caso si abbiano problemi con questo script,sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il nome utente

4)Scansione con Panda Antirootkit (DOWNLOAD (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link&ltype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html))
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

5)Passata con ccleaner (scaricarlo da QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/) e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK )

6)Fare un log di hijackthis per altro controllo ed eventuali file orfani.
(il log di hijackthis va fatto con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricarlo da QUI (http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download).E' stand alone (senza installazione).Metterlo in una sua cartella dedicata, avviarlo, dalla schermata clik su "do a system scan and save a logfile" si aprirà una schermata txt con dei dati, copiare ed incollare nel post....
La prima volta che lo si avvia bisogna cliccare su "I agree" prima di "Do a system scan and save logfile"



Possibili problemi:

Sebbene abbia rimosso il virus non mi funziona la modalità provvisoria...
1) Sei sicuro di aver usato Elibagla?(punto 2)

Il virus non è stato rimosso dopo aver eseguito i passaggi indicati... come mai?
Possibilità:
1) Non hai disattivato ripristino configurazione di sistema
2) E' stato lanciato nuovamente l'eseguibile infetto
3) Non hai seguito tutti i passaggi

Se il problema si annida fra le possibilità sopra riportate, ripetere tutte le operazioni.


Se il problema non è fra le possibilità,seguire le seguenti istruzioni:

-Postare un log di gmer (DOWNLOAD (http://www.majorgeeks.com/downloadget.php?id=5198&file=13&evp=3f18075291813a665b2a25536a70b307)):
una volta aperto il programma cliccare su scan e aspettare la fine delle operazioni. Riportare eventuali voci in rosso rilevati.
-Fare una scansione online QUI (http://www.kaspersky.com/virusscanner) ed allegare il rapporto della scansione.

Apro questo thread per darvi modo di reclutare e organizzarvi al fine di proporre un metodo di disinfezione dal worm Bagle e stilare di conseguenza la Guida che verrà posta in rilievo nella sezione "Aiuto sono infetto! Cosa faccio?" .

A lavoro ultimato questo thread potrà rimanere sempre aperto cosichè abbiate esigenza di rivedere la guida o proporre migliorie o inglobare nuove variante potrete farlo senza difficoltà e senza nuovi thread :)

Sono sicuro che perterà a risultati positivi.

mentre postavo un messaggio rivisto mi hai spostato l'altro :D

aggiungo: lo si può ricevere anche tramite mail...(le prime varianti che sono ancora in giro:rolleyes: )dopo essere sicuri di essere infettati dal bagle usare prima di tutto
1) elibagla (remover tool spagnolo) http://www.zonavirus.com/datos/descargas/95/elibagla.asp scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt. da postare per il controllo.
Nelle ultime varianti aggiungo nella procedura di usarlo in modalità provvisoria.

2)Usare avenger:spiegazione:da qua http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

3)scansione con Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

4)oltre la passata con ccleaner (scaricare da ( QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/))disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" )

5)anche un log di hijackthis per altro controllo ed eventuali file orfani.
(log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricarlo da QUI LINK (http://www.download.com/3001-8022_4-10379544.html) è stand alone (senza installazione)metterlo in una sua cartella dedicata, avviarlo, dalla schermata clik su "do a system scan and save a logfile" si aprirà una schermata txt con dei dati, copiare ed incollare nel post....

mentre postavo un messaggio rivisto mi hai spostato l'altro :D

si scusami non telo avevo detto nell'altro thread... sorry :)

ok ho integrato le istruzioni di lancetta

ok ho integrato le istruzioni di lancetta

Hum.....Bugs...:) mi piace sembra che stia già venendo sù bene:D :D

Edit: Bugs..fratello...edita nella voce ccleaner il "QUI" con il link e di lato ai paragrafi correggi la numerazione dei passaggi,per favore.
Grazie.

come va ora?

come va ora?

Ottimo fratello:D !!! prende corpo:D :D ;)

vediamo cosa dice riverside

@ Bunny & Lancetta, vedo che vi siete messi al lavoro :cool:
vediamo cosa dice riverside
Bunny, raggruppa il tuo post e quello di Lancetta in uno unico, lavorando sul tuo.

Bunny, raggruppa il tuo post e quello di Lancetta in uno unico, lavorando sul tuo.

non l'ho già fatto? :stordita:

non l'ho già fatto? :stordita:
Manca il link diretto a Panda Antirootkit, se non sbaglio.

inserito :)

@Bugs

Per quanto riguarda lo script da inserire in Avenger si potrebbere aggiungere queste due specifiche in caso di problemi con lo script stesso
- sostituire a %SystemDrive% la lettera del disco (o partizione) dove è installato Windows
- sostituire a %UserProfile% col nome del vostro account (vostro nome utente)
se ritieni apportuno ciao.

giusto :)

Io proporrei ancora un giorno di lavoro,per raccogliere modifiche e aggiunte... che ne dite?

@ Bunny

Direi di aggiungere GMer qui per il download (http://files5.majorgeeks.com/files/2ae659bde981b0ad9c0f24835a8d1232/spyware/gmer.zip)
da utilizzare dopo EliBaglA, per individuare il resto dell'infezione, precisando di eseguire le scansioni delle sezioni Autostart e Rootkit.
Richiedere la pubblicazione del log.

E una preventiva scansione online da eseguire da
KASPERSKY ONLINE SCANNER: Kaspersky online scanner (http://www.kaspersky.com/virusscanner)
Anche qui pubblicare il log che verrà rilasciato al termine della scansione

io penso che si potrebbe richiedere la pubblicazione del log dopo aver provato elibagla e avenger,o per essere sicuri di aver tolto tutto, o perchè nè uno nè l'altro sono riusciti a rimuovere l'infezione

Io proporrei ancora un giorno di lavoro,per raccogliere modifiche e aggiunte... che ne dite?
Direi che siamo quasi a posto Bunny:
i software ed i tool necessari, li abbiamo indicati tutti;
lo script da eseguire, anche;
tu aggiungi alla bozza tutto quel poco che resta da aggiungere (non credo manchi più nulla) poi sistemiamo la Guida in maniera definitiva.

io penso che si potrebbe richiedere la pubblicazione del log dopo aver provato elibagla e avenger,o per essere sicuri di aver tolto tutto, o perchè nè uno nè l'altro sono riusciti a rimuovere l'infezione
Come ritieni meglio: precisa, anche, che per la pubblicazione dei log, si faccia il più possibile ricorso all'uso della funzione GESTISCI ALLEGATI.

Integra anche (cosi evitiamo di doverlo spiegare tutte le volte) come si dissattiva il Ripristino configurazione di sistema:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Aggiunti:

-Procedimento per disattivare ripr conf di sys
-Possibili problemi
-revisione parziale veloce

quello che ho notato nella "Guida alla disinfestazione da virus di msn" è che ci pososno essere casi in cui per molteplici motivi il txt non sia allegabile..
si potrebbe zipparlo ma se tutti zippano il log poi risulta macchinso e noiso controllarlo inquanto va scaricato poi unzippato e finalmente letto.

mi chiedevo se non fosse il caso di optare per suggerire uno spazio web free dove uplodare per poi linkarlo nel thread..

quello che ho notato nella "Guida alla disinfestazione da virus di msn" è che ci pososno essere casi in cui per molteplici motivi il txt non sia allegabile..
si potrebbe zipparlo ma se tutti zippano il log poi risulta macchinso e noiso controllarlo inquanto va scaricato poi unzippato e finalmente letto.

mi chiedevo se non fosse il caso di optare per suggerire uno spazio web free dove uplodare per poi linkarlo nel thread..

che sarebbe un ottima cosa..così anche meno carico per il server...

se non fossi Fastweb metterei volentieri a disposizione il mio serverino... tanto per qualche file txt non credo ci vogliano 100Mbit

Trattandosi di txt, direi che potrebbe andare bene: http://www.zshare.net/: semplice ed intuitivo, tutto sommato.

ottimo...prende sempre più corpo:D

Domanda, vi è mai capitato di utilizzare il Norman Malware Cleaner per rimuovere Bagle è un pò che ci guardo e le definizioni sono costantemente aggiornate, l'ho scaricato per controllare la Virus List e di varianti di Bagle ce ne sono tante, attendo un vs.parere, thx.

ok... per me possiamo anche pubblicare il thread

Trattandosi di txt, direi che potrebbe andare bene: http://www.zshare.net/: semplice ed intuitivo, tutto sommato.

grande, quel sito mi mancava :D :p

Domanda, vi è mai capitato di utilizzare il Norman Malware Cleaner per rimuovere Bagle è un pò che ci guardo e le definizioni sono costantemente aggiornate, l'ho scaricato per controllare la Virus List e di varianti di Bagle ce ne sono tante, attendo un vs.parere, thx.
Lo conosco bene:)
le ultime purtroppo non le rimuove ancora(non tutto perlomeno),però è ottimo per altre cose...la differenza con ad esempio l'elibagla è che non è strutturato per ricevere il feedback degli utenti,ecco che l'elibagla risulta sempre più aggiornato.....

Lo conosco bene:)
le ultime purtroppo non le rimuove ancora(non tutto perlomeno),però è ottimo per altre cose...la differenza con ad esempio l'elibagla è che non è strutturato per ricevere il feedback degli utenti,ecco che l'elibagla risulta sempre più aggiornato.....

thx, prima o poi lo metterò alla prova per il Bagle :)

beh... pubblichiamo il tutto?

Direi di si, sembra che sia in arrivo un'altra ondata di infezioni.

chi fa il thread?

chi fa il thread?

penso che dovremmo organizzarci con Degasp pure per il rilievo...non sò se ci sia adesso....

sono su winzoz Vista:
- avvio la patch in spagnolo in modalità normale e durante la scansione mi esce il messaggio "elibagla ha smesso di funzionare....", in modalità provvisoria durante la scansione la finestra scompar senza lasciare traccia:muro:

- Avenger su Vista non funge (già provata l'esecuzione in modalità compatibile winXP)

- ccleaner: fatta la scansione, ma non mi sembra che ccleaner serva a cancellare virus, ma solo a pulire cache, file temp, e cose del genere, e cmq il virus è sempre lì


-HELP:help:


edit: log di hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.59.40, on 26/09/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilities\VolControl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Windows\Gtwatch.exe
C:\Windows\Gtwatch.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\sasà.PC-sasà\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [] C:\Windows\Gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\Windows\gtwatch.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B3070B-4FDF-422F-ACD1-7FB5CF55CCA3}: NameServer = 85.37.17.9 85.38.28.75
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 9398 bytes

il problema di vista....:doh: mi sà che dobbiamo fare tutto a manina,solo che non ho tempo al momento poichè dobbiamo fare tutto passo passo comincia col scaricare
Questo Tool (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP) vedremo se riusciamo con questo

voii create il thread in "aiuto sono infetto" a moh di quello MSN per intenderci poi io lo metto in rilievo e linkato nei "thread importanti" ;)

ok allora lo deve spostare Bugs;) basta che lo copincolli come sta.....

dite che un file batch con scritto dentro

del...
del...

può trovare e levare i files? se sì lo preparo...

Un paio di suggerimenti:D
Le ultime varianti infettano un file che appartiene ad un determinata applicazione che si trova in avvio automatico, se non viene individuato il file infetto, l'infezione si rigenera, quindi, la scansione con kaspersky la farei per prima, in questo modo, si individua subito il file infetto, lo si elimina e finito tutto si fa sostituire il file con una copia pulita o si reinstalla l'applicazione, per vista, penso che gmer lavori beni, ciao

azz nn lo sapevo :doh:
ci mancava anche questa variante :muro:

ok ho aggiornato il nuovo thread (nella sezione delle infezioni) ;)

Lo scaricare la trial di kas. non penso sia molto indicato, molte volte non si installa dato che il bagle è attivo, quindi lo si potrebbe mettere alla fine di tutto quando almeno si è tolta la parte attiva dell'infezione e in quel modo eliminare eventuali residui, comunque, anche antivir lavora bene con il bagle, sono solo consigli sia chiaro, ciao

il problema di vista....:doh: mi sà che dobbiamo fare tutto a manina,solo che non ho tempo al momento poichè dobbiamo fare tutto passo passo comincia col scaricare
Questo Tool (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP) vedremo se riusciamo con questo

grazie dell'aiuto ma nn ho capito come funziona quel tool..:muro:
come faccio a selezionare un file se la finestra che si apre mi fa selezionare solo cartelle? e poi quale file si dovrebbe selezionare?
ho notato che winitems.exe nella cartella di win non c'è più, ma cmq sicuramente sarò ancora infetto in quanto non posso attivare il centro sicurezza:help:

se entro domani mattina non ho risolto apro il pc lo annaquo di alcool etilico e gli do fuoco, così sono sicuro che è disinfettato:D

dovresti cliccare due volte sulla cartella per visualizzare i file in essa presenti ma prima ancora di lanciare il tool dovresti abilitare l'opzione per visualizzare le cartelle e i file nascosti...per i file non saprei,gli altri ti hanno già indicato quali eliminare?

dovresti cliccare due volte sulla cartella per visualizzare i file in essa presenti ma prima ancora di lanciare il tool dovresti abilitare l'opzione per visualizzare le cartelle e i file nascosti...per i file non saprei,gli altri ti hanno già indicato quali eliminare?

ho cercato con Cerca di win:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\data.oct
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\flec006.exe


nnon esiste nessuno di questi file:muro: :muro:

EDIT: non so se vi possa essere utile, ma ho notato che il tool EliBagla smette di funzionare esattamente quando trova il virus

quei files non li puoi trovare con la funzione cerca di windows....

@ team anti bagle: se gli facessimo piazzare un batch in esecuzione automatica con scritto

md C:\ciao
ren c:\windows\system32\wintems.exe aab.exe
move C:\Windows\system32\aab.exe C:\ciao\aab.exe
del c:\ciao\aab.exe

e così via,secondo voi funzionerebbe??

quei files non li puoi trovare con la funzione cerca di windows....


ok.. cmq non li trovo nemmeno nella finestra della patch di nod32 postata prima:muro:
'iuto

quei files non li puoi trovare con la funzione cerca di windows....

@ team anti bagle: se gli facessimo piazzare un batch in esecuzione automatica con scritto

md C:\ciao
ren c:\windows\system32\wintems.exe aab.exe
move C:\Windows\system32\aab.exe C:\ciao\aab.exe
del c:\ciao\aab.exe

e così via,secondo voi funzionerebbe??
provare non costa nulla..lo fai tu? grazie

ok.. cmq non li trovo nemmeno nella finestra della patch di nod32 postata prima:muro:
'iuto
pò di pazienza che con vista si và a tentativi........

quei files non li puoi trovare con la funzione cerca di windows....

@ team anti bagle: se gli facessimo piazzare un batch in esecuzione automatica con scritto

md C:\ciao
ren c:\windows\system32\wintems.exe aab.exe
move C:\Windows\system32\aab.exe C:\ciao\aab.exe
del c:\ciao\aab.exe

e così via,secondo voi funzionerebbe??
No se il file e il processo vengono nascosti dal componente rootkit, potrebbe essere utile solo se si è disattivato il componente rootkit, in quel caso, tutto torna visibile:D , comunque, con gmer credo che sia possibile eliminare i files con questa sintassi
gmer -kill wintems.exe o gmer -killall
gmer -del file c:\windows\system32\wintems.exe
gmer -reboot

Ciao

scusate se mi intrometto...
ora, io non sono ne' esperto del bagle, ne' sono sicuro della reale funzionalità del programma che stò per segnalare, ma... non basterebbe installare Malware Immunizer? DOVREBBE immunizzare il sistema da bagle e altri malware.. credo di poter anche togliere il dovrebbe, perchè da quando l'ho installato, non sono iù stato infettato da uno dei 1600 malware che immunizza...
qualcuno ne aveva già sentito parlare??
http://forum.wininizio.it/index.php?showtopic=45630
http://malware.vze.com/

edit: ho visto che ci sono una trentina di voci riguardo al bagle, quindi credo che immunizzi da tutti i tipi di bagle

uhm... non ho mai provato questo programma.... sinceramente nn mi ispira molto...

poi lo provo... se riesco a trovare una copia del bagle... magari scarico qualche "coso" da emule...
sono l'unico che scarica i "cosi" per trovare virus :asd:

tralaltor su wininizio c'è scritto non rimuove nulla(però rileva) e allora mi faccio una scansione con kaspersky no?

*DELETED* meglio evitare il ban :D

e io sospendo se leggo certe parole, a voi indovinare quali prima che arrivi il :banned:

:fiufiu:

poi lo provo... se riesco a trovare una copia del bagle... magari scarico qualche "coso" da emule...
sono l'unico che scarica i crack per trovare virus :asd:

tralaltor su wininizio c'è scritto non rimuove nulla(però rileva) e allora mi faccio una scansione con kaspersky no?


se vuoi sapere come l'ho preso pvtizzami pure..non penso si possa parlare di crack qui o no?:stordita:

e io sospendo se leggo certe parole, a voi indovinare quali prima che arrivi il :banned:

:fiufiu:

non si ostacola la ricerca scientifica :asd:

ho modificato :angel:

poi lo provo... se riesco a trovare una copia del bagle... magari scarico qualche "coso" da emule...
sono l'unico che scarica i "cosi" per trovare virus :asd:

tralaltor su wininizio c'è scritto non rimuove nulla(però rileva) e allora mi faccio una scansione con kaspersky no?

:asd: anch'io scarico i "cosi" per trovare dei virus, ma spesso non sono virus :(
cmq, credo che se hai già malware immunizer installato, non ti puoi infettare, mentre se lo installi dopo essere stato infettato, lo rileva e basta...
cmq, qualcuno mi può dire dove posso scaricare il bagle? vorrei vedere se funziona davvero MI, ma non so dove trovare il caro worm... :fagiano:

non si ostacola la ricerca scientifica :asd:

ho modificato :angel:

già! che despota :mad: :D lol

@thewebsurfer
Domanda: Elibagle su Vista l'hai eseguito loggato da amministratore?

allora,io a thewebsurfer ho pensato di:

killare i processi di bagle ed il driver,in modo che si disattivi il rootkit e che si possano levare dai piedi i file con explorer....

allora,io a thewebsurfer ho pensato di:

killare i processi di bagle ed il driver,in modo che si disattivi il rootkit e che si possano levare dai piedi i file con explorer....

con Gmer?
Ho posto la domanda sopra perchè volevo sapere se ha lanciato il tool col doppio clic o con il tasto dx Avvia come amministratore

esiste un sito da cui si possono scaricare dei virus (in particolare mi interesserebbero i bagle) per fare dei test?
edit: ora che ci penso non credo sarebbe troppo legale fare un sito dove si possono scaricare dei virus...

@thewebsurfer
Domanda: Elibagle su Vista l'hai eseguito loggato da amministratore?

c'è solo un utente..dovrebbe essere amministratore, giusto?..:fagiano:

ora ho provato GMER...durante la scansione "smette di funzionare":muro:

esiste un sito da cui si possono scaricare dei virus (in particolare mi interesserebbero i bagle) per fare dei test?
edit: ora che ci penso non credo sarebbe troppo legale fare un sito dove si possono scaricare dei virus...
:eek: Leo, è pieno di siti da cui si possono scaricare virus :D
In ogni caso, se proprio ti vuoi cimentare, da un pò di tempo a questa parte, Emule è diventata una discarica a cielo aperto: li scarichi .... ops ... volevo dire, se non sei sfigiato, li becchi tutti :cool:

c'è solo un utente..dovrebbe essere amministratore, giusto?..:fagiano:

Ho posto la domanda sopra perchè volevo sapere se hai lanciato il tool (Elibagle) col doppio clic o con il tasto dx Avvia come amministratore

:eek: Leo, è pieno di siti da cui si possono scaricare virus :D
In ogni caso, se proprio ti vuoi cimentare, da un pò di tempo a questa parte, Emule è diventata una discarica a cielo aperto: li scarichi .... ops ... volevo dire, se non sei sfigiato, li becchi tutti :cool:

:asd: se emule mi funzionasse... bè.. mi installo limewire.. lì è ancora peggio :D

non si ostacola la ricerca scientifica :asd:

ho modificato :angel:

infatti, perchè hai editato?
:sofico:

Ho posto la domanda sopra perchè volevo sapere se hai lanciato il tool (Elibagle) col doppio clic o con il tasto dx Avvia come amministratore


ho provato col tasto dx come amministratore, ma si verifica la stessa situazione...appena viene trovato il virus si blocca

ora ho provato GMER...durante la scansione "smette di funzionare":muro:

prova panda antirootkit

prova panda antirootkit

messaggio semplice e chiaro "Operating System not supported"

rootkit unhooker dovrebbe funzionare :)

ma guarda un po'.... ci mancava anche sto caxxo di sistema operativo...

la sicurezza di windows vista....COME NO?!? Non funzionano i programmi di sicurezza ma i virus funzionano eccome! bella sicurezza!

dopo questo piccolo sfogo,attendo notizie da thewebsurfer.
Se invece di fare la scansione clicchi direttamente su >>> e poi su processi,gmer ti si blocca lo stesso?

ma guarda un po'.... ci mancava anche sto caxxo di sistema operativo...

la sicurezza di windows vista....COME NO?!? Non funzionano i programmi di sicurezza ma i virus funzionano eccome! bella sicurezza!

dopo questo piccolo sfogo,attendo notizie da thewebsurfer.
Se invece di fare la scansione clicchi direttamente su >>> e poi su processi,gmer ti si blocca lo stesso?

Lo slogan al lancio di Vista: "Ancora più sicuro" :D

scollegato da internet non so come sono riuscito a fare una scansione con gmer...ora che si fa?:fagiano:
GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-09-28 22:38:07
Windows 6.0.6000


---- System - GMER 1.0.13 ----

SSDT 8A087968 ZwConnectPort

---- Kernel code sections - GMER 1.0.13 ----

.text ntoskrnl.exe!ZwQueryLicenseValue + D21 81C460B9 1 Byte [ 06 ]
.text ntoskrnl.exe!_alloca_probe + 104 81C55E54 4 Bytes [ 68, 79, 08, 8A ]

---- User IAT/EAT - GMER 1.0.13 ----

IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!CopyFileW] [6E1788F6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!MoveFileW] [6E178B2F] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USER32.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!CopyFileW] [6E1788F6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!OpenFile] [6E178C84] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!CopyFileW] [6E1788F6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!MoveFileW] [6E178B2F] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [ADVAPI32.dll!RegCreateKeyExA] [6E17952A] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [ADVAPI32.dll!RegSetValueExA] [6E179AFB] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExA] [6E179741] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!CreateProcessW] [6E172E2C] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!GetFileAttributesExW] [6E172C16] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!GetFileAttributesW] [6E172A18] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!AccessCheck] [6E17883A] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegSetValueW] [6E179A53] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegDeleteValueW] [6E179CF9] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExA] [6E179741] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!SetFileAttributesW] [6E178FA6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!SetFileAttributesA] [6E178F4E] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateFileA] [6E17A275] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegSetValueExA] [6E179AFB] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExA] [6E17952A] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExA] [6E179741] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegDeleteValueA] [6E179C57] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHLWAPI.dll [ADVAPI32.dll!RegDeleteValueW] [6E179CF9] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!SetFileSecurityW] [6E179DF4] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!RegOpenKeyExA] [6E179741] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [ADVAPI32.dll!AccessCheck] [6E17883A] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [KERNEL32.dll!MoveFileExW] [6E178C14] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!CopyFileW] [6E1788F6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!MoveFileW] [6E178B2F] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!SetFileAttributesW] [6E178FA6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!MoveFileExW] [6E178C14] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegDeleteValueW] [6E179CF9] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegSetValueW] [6E179A53] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegCreateKeyW] [6E179498] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!SetFileSecurityW] [6E179DF4] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!AccessCheck] [6E17883A] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExA] [6E179741] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!PrivCopyFileExW] [6E178EEA] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!MoveFileExW] [6E178C14] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!DeleteFileW] [6E178A65] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!SetFileAttributesW] [6E178FA6] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [ADVAPI32.dll!SetFileSecurityW] [6E179DF4] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\USERENV.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!CreateFileW] [6E17A391] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [6EAA4618] C:\Windows\system32\ShimEng.dll
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\Secur32.dll [ADVAPI32.dll!RegCreateKeyExW] [6E179639] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\Secur32.dll [ADVAPI32.dll!RegSetValueExW] [6E179BA7] C:\Windows\AppPatch\AcGenral.DLL
IAT C:\Users\sasà.PC-sasà\Desktop\gmer.exe[860] @ C:\Windows\system32\Secur32.dll [ADVAPI32.dll!RegOpenKeyExW] [6E179815] C:\Windows\AppPatch\AcGenral.DLL

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE_NAMED_PIPE [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_CLOSE [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_READ [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_WRITE [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_INFORMATION [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SET_INFORMATION [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_EA [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SET_EA [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_FLUSH_BUFFERS [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_VOLUME_INFORMATION [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SET_VOLUME_INFORMATION [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_DIRECTORY_CONTROL [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_FILE_SYSTEM_CONTROL [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_DEVICE_CONTROL [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_INTERNAL_DEVICE_CONTROL [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SHUTDOWN [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_LOCK_CONTROL [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_CLEANUP [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE_MAILSLOT [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_SECURITY [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SET_SECURITY [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_POWER [804F1F42] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SYSTEM_CONTROL [804F1F42] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_DEVICE_CHANGE [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_QUOTA [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 IRP_MJ_SET_QUOTA [804F1D1B] Wdf01000.sys
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_CREATE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_CLOSE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_READ [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_WRITE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_QUERY_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SET_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_QUERY_EA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SET_EA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_FLUSH_BUFFERS [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_DEVICE_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SHUTDOWN [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_LOCK_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_CLEANUP [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_CREATE_MAILSLOT [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_QUERY_SECURITY [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SET_SECURITY [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_POWER [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SYSTEM_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_DEVICE_CHANGE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_QUERY_QUOTA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Tcp IRP_MJ_SET_QUOTA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_CREATE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_CLOSE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_READ [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_WRITE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_QUERY_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SET_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_QUERY_EA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SET_EA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_FLUSH_BUFFERS [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_DIRECTORY_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_DEVICE_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SHUTDOWN [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_LOCK_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_CLEANUP [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_CREATE_MAILSLOT [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_QUERY_SECURITY [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SET_SECURITY [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_POWER [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SYSTEM_CONTROL [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_DEVICE_CHANGE [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_QUERY_QUOTA [8A9731D0] SYMTDI.SYS
AttachedDevice \Driver\tdx \Device\Udp IRP_MJ_SET_QUOTA [8A9731D0] SYMTDI.SYS

---- Files - GMER 1.0.13 ----

ADS C:\Documents and Settings\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{F7C0111C-3846-4567-F50D-9AB4E3601DFC}\01\10-{F7C0111C-3846-4567-F50D-9AB4E3601DFC}-v1-{AD4007AD-3C93-48C2-AABD-803722A3EFE8}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Documents and Settings\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{77DB3B5F-F51E-B142-0446-E66147F50B15}\01\11-{77DB3B5F-F51E-B142-0446-E66147F50B15}-v1-{AD4007AD-3C93-48C2-AABD-803722A3EFE8}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Documents and Settings\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{F96F71BE-1B23-7B52-643F-D45EF88F8AE1}\01\10-{F96F71BE-1B23-7B52-643F-D45EF88F8AE1}-v1-{9AD08A21-4DD3-40A1-92D1-238F7DE82D13}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Users\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{F7C0111C-3846-4567-F50D-9AB4E3601DFC}\01\10-{F7C0111C-3846-4567-F50D-9AB4E3601DFC}-v1-{AD4007AD-3C93-48C2-AABD-803722A3EFE8}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Users\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{77DB3B5F-F51E-B142-0446-E66147F50B15}\01\11-{77DB3B5F-F51E-B142-0446-E66147F50B15}-v1-{AD4007AD-3C93-48C2-AABD-803722A3EFE8}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Users\sasà.PC-sasà\AppData\Local\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{F96F71BE-1B23-7B52-643F-D45EF88F8AE1}\01\10-{F96F71BE-1B23-7B52-643F-D45EF88F8AE1}-v1-{9AD08A21-4DD3-40A1-92D1-238F7DE82D13}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

---- EOF - GMER 1.0.13 ----

non mi pare abbia trovato nulla....

vai su >>> e poi su autostart. fai una scansione lì

aspettando risposte sul log di gmer..

sempre con gmer nella scheda processi c:\windows\system32\wininit.exe...cercando su google ho visto che è un trojan o sbaglio?:mad:


ma secondo me norton i virus non solo li fa passare..gli prepara pure la poltrona e il cuscino

aspettando risposte sul log di gmer..

sempre con gmer nella scheda processi c:\windows\system32\wininit.exe...cercando su google ho visto che è un trojan o sbaglio?:mad:


ma secondo me norton i virus non solo li fa passare..gli prepara pure la poltrona e il cuscino

Dovrebbe trattarsi di un Worm - IRC Backdoor
edit: ma UAC l'hai disabilitato?

non mi pare abbia trovato nulla....

vai su >>> e poi su autostart. fai una scansione lì

ecco
GMER 1.0.13.12551 - http://www.gmer.net
Autostart scan 2007-09-28 23:09:34
Windows 6.0.6000


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\Windows\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AgereModemAudio /*Agere Modem Call Progress Audio*/@ = C:\Windows\system32\agrsmsvc.exe
Ati External Event Utility@ = %SystemRoot%\system32\Ati2evxx.exe
Bonjour Service /*##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##*/@ = "C:\Program Files\Bonjour\mDNSResponder.exe"
ccEvtMgr /*Symantec Event Manager*/@ = "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon
ccSetMgr /*Symantec Settings Manager*/@ = "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon
CFSvcs /*ConfigFree Service*/@ = C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
CLTNetCnService /*Symantec Lic NetConnect service*/@ = "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon
LiveUpdate Notice Ex /*LiveUpdate Notice Service Ex*/@ = "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon
LiveUpdate Notice Service /*LiveUpdate Notice Service*/@ = "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"

HKLM\SYSTEM\CurrentControlSet\Services\slsvc /*@%SystemRoot%\system32\SLsvc.exe,-101*/@ = %SystemRoot%\system32\SLsvc.exe

HKLM\SYSTEM\CurrentControlSet\Services\Spooler /*@%systemroot%\system32\spoolsv.exe,-1*/@ = %SystemRoot%\System32\spoolsv.exe

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
SymAppCore /*Symantec AppCore Service*/@ = "C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe"
TODDSrv /*TOSHIBA Optical Disc Drive Service*/@ = C:\Windows\system32\TODDSrv.exe
TosCoSrv /*TOSHIBA Power Saver*/@ = "C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe"
UleadBurningHelper /*Ulead Burning Helper*/@ = C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Utilità di pianificazione di LiveUpdate automatico /*Utilità di pianificazione di LiveUpdate automatico*/@ = "C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"

HKLM\SYSTEM\CurrentControlSet\Services\WSearch /*@%systemroot%\system32\SearchIndexer.exe,-103*/@ = %systemroot%\system32\SearchIndexer.exe /Embedding

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Windows Defender%ProgramFiles%\Windows Defender\MSASCui.exe -hide /*file not found*/ = %ProgramFiles%\Windows Defender\MSASCui.exe -hide /*file not found*/
@SunJavaUpdateSched"C:\Program Files\Java\jre1.6.0\bin\jusched.exe" = "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
@TPwrMain%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE /*file not found*/ = %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE /*file not found*/
@SmoothView%ProgramFiles%\Toshiba\SmoothView\SmoothView.exe = %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
@00TCrdMain%ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe = %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
@ATICCC"C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" = "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
@RtHDVCplRtHDVCpl.exe = RtHDVCpl.exe
@SynTPEnhC:\Program Files\Synaptics\SynTP\SynTPEnh.exe = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
@TOSHIBA Volume Indicator"C:\Program Files\Toshiba\Utilities\VolControl.exe" = "C:\Program Files\Toshiba\Utilities\VolControl.exe"
@NDSTray.exeNDSTray.exe /*file not found*/ = NDSTray.exe /*file not found*/
@QuickTime Task"C:\Program Files\QuickTime\qttask.exe" -atboottime = "C:\Program Files\QuickTime\qttask.exe" -atboottime
@ccApp"C:\Program Files\Common Files\Symantec Shared\ccApp.exe" = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
@osCheck"C:\Program Files\Norton Internet Security\osCheck.exe" = "C:\Program Files\Norton Internet Security\osCheck.exe"
@topiC:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup /*file not found*/ = C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup /*file not found*/
@TkBellExe"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
@Symantec PIF AlertEng"C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" = "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
@PCSuiteTrayApplicationC:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup /*file not found*/ = C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup /*file not found*/
@C:\Windows\Gtwatch.exe = C:\Windows\Gtwatch.exe
@GtwatchC:\Windows\gtwatch.exe = C:\Windows\gtwatch.exe
@RemoteControl"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" = "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@TOSCDSPDTOSCDSPD.EXE /*file not found*/ = TOSCDSPD.EXE /*file not found*/
@swgC:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe = C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /*Computers and Devices*/%systemroot%\system32\NetworkExplorer.dll = %systemroot%\system32\NetworkExplorer.dll
@{4A1E5ACD-A108-4100-9E26-D2FAFA1BA486} /*IGD Property Sheet Handler*/%SystemRoot%\System32\icsigd.dll = %SystemRoot%\System32\icsigd.dll
@{92dbad9f-5025-49b0-9078-2d78f935e341} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{b9815375-5d7f-4ce2-9245-c9d4da436930} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{f8b8412b-dea3-4130-b36c-5e8be73106ac} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{5FA29220-36A1-40f9-89C6-F4B384B7642E} /*Shell Message Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} /*Microsoft Browser Architecture*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /*Microsoft Url History Service*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /*History*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /*Microsoft Url Search Hook*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /*The Internet*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{73CFD649-CD48-4fd8-A272-2070EA56526B} /*IE BandProxy*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{07C45BB1-4A8C-4642-A1F5-237E7215FF66} /*IE Microsoft BrowserBand*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{43886CD5-6529-41c4-A707-7B3C92C05E68} /*IE Navigation Bar*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} /*IE Registry Tree Options Utility*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE AutoComplete*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} /*IE MRU AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} /*IE Custom MRU AutoCompleted List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6038EF75-ABFC-4e59-AB6F-12D397F6568D} /*IE Microsoft History AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} /*IE Microsoft Shell Folder AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{B31C5FAE-961F-415b-BAF0-E697A5178B94} /*IE Microsoft Multiple AutoComplete List Container*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{E6EE9AAC-F76B-4947-8260-A9F136138E11} /*IE Shell Band Site Menu*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} /*IE Shell Rebar BandSite*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} /*IE User Assist*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{4B78D326-D922-44f9-AF2A-07805C2A3560} /*IE Menu Band*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6CF48EF8-44CD-45d2-8832-A16EA016311B} /*IE IShellFolderBand*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{F2CF5485-4E02-4f68-819C-B92DE9277049} /*&Links*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{1C1EDB47-CE22-4bbb-B608-77B48F83C823} /*IE Fade Task*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} /*IE Tracking Shell Menu*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{44C76ECD-F7FA-411c-9929-1B77BA77F524} /*IE Menu Site*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{205D7A97-F16D-4691-86EF-F3075DCCA57D} /*IE Menu Desk Bar*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} /*IE RSS Feeder Folder*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{8856f961-340a-11d0-a96b-00c04fd705a2} /*Microsoft Web Browser*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{00020d75-0000-0000-c000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{CC6EEFFB-43F6-46c5-9619-51D571967F7D} /*Web Publishing Wizard*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{add36aa8-751a-4579-a266-d66f5202ccbb} /*Print Ordering via the Web*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{6b33163c-76a5-4b6c-bf21-45de9cd503a1} /*Shell Publishing Wizard Object*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{176d6597-26d3-11d1-b350-080036a75b03} /*ICM Scanner Management*/%SystemRoot%\System32\colorui.dll = %SystemRoot%\System32\colorui.dll
@{5DB2625A-54DF-11D0-B6C4-0800091AA605} /*ICM Monitor Management*/%SystemRoot%\System32\colorui.dll = %SystemRoot%\System32\colorui.dll
@{675F097E-4C4D-11D0-B6C1-0800091AA605} /*ICM Printer Management*/%SystemRoot%\system32\colorui.dll = %SystemRoot%\system32\colorui.dll
@{DBCE2480-C732-101B-BE72-BA78E9AD5B27} /*ICC Profile*/%SystemRoot%\system32\colorui.dll = %SystemRoot%\system32\colorui.dll
@{b2c761c6-29bc-4f19-9251-e6195265baf1} /*Color Control Panel Applet*/(null) =
@{74246bfc-4c96-11d0-abef-0020af6b0b7a} /*Device Manager*/%SystemRoot%\System32\devmgr.dll = %SystemRoot%\System32\devmgr.dll
@{7A979262-40CE-46ff-AEEE-7884AC3B6136} /*Add New Hardware*/(null) =
@{3e7efb4c-faf1-453d-89eb-56026875ef90} /*Get Programs Online*/(null) =
@{1b24a030-9b20-49bc-97ac-1be4426f9e59} /*ActiveDirectory Folder*/(null) =
@{34449847-FD14-4fc8-A75A-7432F5181EFB} /*ActiveDirectory Folder*/(null) =
@{C8494E42-ACDD-4739-B0FB-217361E4894F} /*Sam Account Folder*/(null) =
@{E29F9716-5C08-4FCD-955A-119FDB5A522D} /*Sam Account Folder*/(null) =
@{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /*Control Panel command object for Start menu*/(null) =
@{E44E5D18-0652-4508-A4E2-8A090067BCB0} /*Default Programs command object for Start menu*/(null) =
@{6dfd7c5c-2451-11d3-a299-00c04f8ef6af} /*Folder Options*/(null) =
@{97e467b4-98c6-4f19-9588-161b7773d6f6} /*Office Document Property Handler*/%SystemRoot%\system32\propsys.dll = %SystemRoot%\system32\propsys.dll
@{2C2577C2-63A7-40e3-9B7F-586602617ECB} /*Explorer Query Band*/(null) =
@{DC1C5A9C-E88A-4dde-A5A1-60F82A20AEF7} /*File Open Dialog*/%SystemRoot%\System32\comdlg32.dll = %SystemRoot%\System32\comdlg32.dll
@{C0B4E2F3-BA21-4773-8DBA-335EC946EB8B} /*File Save Dialog*/%SystemRoot%\System32\comdlg32.dll = %SystemRoot%\System32\comdlg32.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\Windows\system32\dfshim.dll = C:\Windows\system32\dfshim.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\Windows\system32\dfshim.dll = C:\Windows\system32\dfshim.dll
@{92337A8C-E11D-11D0-BE48-00C04FC30DF6} /*OlePrn.PrinterURL*/%SystemRoot%\system32\oleprn.dll = %SystemRoot%\system32\oleprn.dll
@{45670FA8-ED97-4F44-BC93-305082590BFB} /*Microsoft XPS Properties*/%SystemRoot%\system32\XPSSHHDR.DLL = %SystemRoot%\system32\XPSSHHDR.DLL
@{44121072-A222-48f2-A58A-6D9AD51EBBE9} /*Microsoft XPS Thumbnail*/%SystemRoot%\system32\XPSSHHDR.DLL = %SystemRoot%\system32\XPSSHHDR.DLL
@{38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b} /*View Available Networks*/(null) =
@{13D3C4B8-B179-4ebb-BF62-F704173E7448} /*Windows Contact Preview Handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} /*Contacts folder*/(null) =
@{4F58F63F-244B-4c07-B29F-210BE59BE9B4} /*.group shell extension handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{8082C5E6-4C27-48ec-A809-B8E1122E8F97} /*.contact shell extension handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{16C2C29D-0E5F-45f3-A445-03E03F587B7D} /*group_wab_auto_file*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{CF67796C-F57F-45F8-92FB-AD698826C602} /*contact_wab_auto_file*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} /*Compatibility Property Page*/%windir%\system32\acppage.dll = %windir%\system32\acppage.dll
@{4026492f-2f69-46b8-b9bf-5654fc07e423} /*Windows Firewall*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\Windows\system32\extmgr.dll = C:\Windows\system32\extmgr.dll
@{fcfeecae-ee1b-4849-ae50-685dcf7717ec} /*Problem Reports and Solutions*/(null) =
@{a304259d-52b8-4526-8b1a-a1d6cecc8243} /*iSCSI Initiator*/(null) =
@{11dbb47c-a525-400b-9e80-a54615a090c0} /*Execute Folder*/ExplorerFrame.dll = ExplorerFrame.dll
@{90b9bce2-b6db-4fd3-8451-35917ea1081b} /*Search Execute Command*/ExplorerFrame.dll = ExplorerFrame.dll
@{911051fa-c21c-4246-b470-070cd8df6dc4} /*.cab or .zip files*/(null) =
@{da67b8ad-e81b-4c70-9b91b417b5e33527} /*Windows Search Shell Service*/(null) =
@{a38b883c-1682-497e-97b0-0a3a9e801682} /*IPropertyStore Handler for Images*/C:\Windows\system32\PhotoMetadataHandler.dll = C:\Windows\system32\PhotoMetadataHandler.dll
@{C7657C4A-9F68-40fa-A4DF-96BC08EB3551} /*Photo Thumbnail Provider*/C:\Windows\system32\PhotoMetadataHandler.dll = C:\Windows\system32\PhotoMetadataHandler.dll
@{3F30C968-480A-4C6C-862D-EFC0897BB84B} /*Photo Thumbnail Extractor*/C:\Windows\system32\PhotoMetadataHandler.dll = C:\Windows\system32\PhotoMetadataHandler.dll
@{BC65FB43-1958-4349-971A-210290480130} /*Network Explorer Property Sheet Handler*/%SystemRoot%\System32\NcdProp.dll = %SystemRoot%\System32\NcdProp.dll
@{d3e34b21-9d75-101a-8c3d-00aa001a1652} /*Bitmap Image*/(null) =
@{40C3D757-D6E4-4b49-BB41-0E5BBEA28817} /*Video Media Properties Handler*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{E598560B-28D5-46aa-A14A-8A3BEA34B576} /*Windows Photo Gallery Viewer Video Verbs*/%ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/
@{00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3} /*Microsoft.ScannersAndCameras*/(null) =
@{0a4286ea-e355-44fb-8086-af3df7645bd9} /*Windows Media Player*/C:\PROGRA~1\WI4EB4~1\wmpband.dll = C:\PROGRA~1\WI4EB4~1\wmpband.dll
@{BB6B2374-3D79-41DB-87F4-896C91846510} /*EMDFileProperties*/emdmgmt.dll = emdmgmt.dll
@{875CB1A1-0F29-45de-A1AE-CFB4950D0B78} /*Audio Media Properties Handler*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{89D83576-6BD1-4c86-9454-BEB04E94C819} /*MAPI Search Namespace Extension*/%systemroot%\system32\mssvp.dll = %systemroot%\system32\mssvp.dll
@{7A0F6AB7-ED84-46B6-B47E-02AA159A152B} /*Sync Center Simple Conflict Presenter*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{9D687A4C-1404-41ef-A089-883B6FBECDE6} /*Windows Photo Gallery Viewer Autoplay Handler*/(null) =
@{37efd44d-ef8d-41b1-940d-96973a50e9e0} /*Windows Sidebar Properties*/(null) =
@{00f20eb5-8fd6-4d9d-b75e-36801766c8f1} /*PhotoAcqDropTarget*/%ProgramFiles%\Windows Photo Gallery\PhotoAcq.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoAcq.dll /*file not found*/
@{BC48B32F-5910-47F5-8570-5074A8A5636A} /*Sync Results Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{ED228FDF-9EA8-4870-83B1-96B02CFE0D52} /*Games Folder*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{E413D040-6788-4C22-957E-175D1C513A34} /*Sync Center Conflict Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{67718415-c450-4f3c-bf8a-b487642dc39b} /*Windows Features*/(null) =
@{91ADC906-6722-4B05-A12B-471ADDCCE132} /*Touch Band*/%SystemRoot%\System32\TouchX.dll = %SystemRoot%\System32\TouchX.dll
@{2781761E-28E0-4109-99FE-B9D127C57AFE} /*Windows Defender IOfficeAntiVirus implementation*/%ProgramFiles%\Windows Defender\MpOav.dll /*file not found*/ = %ProgramFiles%\Windows Defender\MpOav.dll /*file not found*/
@{FFE2A43C-56B9-4bf5-9A79-CC6D4285608A} /*Windows Photo Gallery Viewer Image Verbs*/%ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/
@{4B534112-3AF6-4697-A77C-D62CE9B9E7CF} /*Sync Center Event Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{F1390A9A-A3F4-4E5D-9C5F-98F3BD8D935C} /*Sync Setup Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{4E5BFBF8-F59A-4e87-9805-1F9B42CC254A} /*GameUX.RichGameMediaThumbnail*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{d8559eb9-20c0-410e-beda-7ed416aecc2a} /*Windows Defender*/(null) =
@{576C9E85-1300-4EF5-BF6B-D00509F4EDCD} /*Sync Center Handler Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{5ea4f148-308c-46d7-98a9-49041b1dd468} /*Mobility Center Control Panel*/(null) =
@{289978AC-A101-4341-A817-21EBA7FD046D} /*Sync Center Conflict Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{877ca5ac-cb41-4842-9c69-9136e42d47e2} /*File Backup Index*/%systemroot%\system32\sdshext.dll = %systemroot%\system32\sdshext.dll
@{71D99464-3B6B-475C-B241-E15883207529} /*Sync Results Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{B32D3949-ED98-4DBB-B347-17A144969BBA} /*Sync Center Item Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{2E9E59C0-B437-4981-A647-9C34B9B90891} /*Sync Setup Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF} /*Sync Center Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{CB1B7F8C-C50A-4176-B604-9E24DEE8D4D1} /*Welcome Center*/oobefldr.dll = oobefldr.dll
@{F04CC277-03A2-4277-96A9-77967471BDFF} /*Sync Center Conflict Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{53BEDF0B-4E5B-4183-8DC9-B844344FA104} /*Microsoft Windows MAPI Preview Handler*/%SystemRoot%\system32\mssvp.dll = %SystemRoot%\system32\mssvp.dll
@{6b9228da-9c15-419e-856c-19e768a13bdc} /*Windows gadget DropTarget*/%ProgramFiles%\Windows Sidebar\sbdrop.dll /*file not found*/ = %ProgramFiles%\Windows Sidebar\sbdrop.dll /*file not found*/
@{8E25992B-373E-486E-80E5-BD23AE417E66} /*Sync Center Device Notification Sink*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{031EE060-67BC-460d-8847-E4A7C5E45A27} /*Windows Media Player Rich Preview Handler*/(null) =
@{1FA9085F-25A2-489B-85D4-86326EEDCD87} /*Manage Wireless Networks*/%SystemRoot%\system32\wlanpref.dll = %SystemRoot%\system32\wlanpref.dll
@{7dda204b-2097-47c9-8323-c40bb840ae44} /*XPS document*/(null) =
@{ECDD6472-2B9B-4b4b-AE36-F316DF3C8D60} /*RichGameMediaPropertyStore Class*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{BD7A2E7B-21CB-41b2-A086-B309680C6B7E} /*Client Side Cache Namespace Extension*/%systemroot%\system32\mssvp.dll = %systemroot%\system32\mssvp.dll
@{c5a40261-cd64-4ccf-84cb-c394da41d590} /*Video Thumbnail Extractor*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{2F603045-309F-11CF-9774-0020AFD0CFF6} /*Synaptics Control Panel*/C:\Program Files\Synaptics\SynTP\SynTPCpl.dll = C:\Program Files\Synaptics\SynTP\SynTPCpl.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Program Files\Real\RealPlayer\rpshell.dll = C:\Program Files\Real\RealPlayer\rpshell.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Program Files\Microsoft Office\OFFICE11\msohev.dll = C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
@{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} /*Nokia Phone Browser*/C:\Program Files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll = C:\Program Files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
@{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} /*Microsoft Office Metadata Handler*/C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll = C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
@{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} /*Microsoft Office Thumbnail Handler*/C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll = C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Program Files\WinRAR\rarext.dll = C:\Program Files\WinRAR\rarext.dll
@{FED7043D-346A-414D-ACD7-550D052499A7} /*dBpowerAMP Music Converter 1*/C:\Program Files\Illustrate\dBpowerAMP\dBShell.dll = C:\Program Files\Illustrate\dBpowerAMP\dBShell.dll
@{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} /*dBpowerAMP Music Converter*/C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll = C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{1E8A6170-7264-4D0F-BEAE-D42A53123C75}C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll = C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Program Files\Java\jre1.6.0\bin\ssv.dll = C:\Program Files\Java\jre1.6.0\bin\ssv.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\program files\google\googletoolbar4.dll = c:\program files\google\googletoolbar4.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Start Pagehttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\Windows\system32\blank.htm = C:\Windows\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\Windows\System32\msvidctl.dll
its@CLSID = %SystemRoot%\System32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = %SystemRoot%\System32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\Windows\System32\msvidctl.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ >>>
000000000001@LibraryPath = %SystemRoot%\system32\NLAapi.dll
000000000004@LibraryPath = %SystemRoot%\system32\napinsp.dll
000000000005@LibraryPath = %SystemRoot%\system32\pnrpnsp.dll
000000000006@LibraryPath = %SystemRoot%\system32\pnrpnsp.dll
000000000007@LibraryPath = C:\Program Files\Bonjour\mdnsNSP.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000008@LibraryPath = %SystemRoot%\system32\wshbth.dll

---- EOF - GMER 1.0.13 ----

Dovrebbe trattarsi di un Worm - IRC Backdoor
edit: ma UAC l'hai disabilitato?

uè ma che lingua parli?:D
cosè UAC?
cmq ho provato a killare wininit.exe e mi sono trovato una schermata blu prepotente:)

ma sei sicuro di essere infetto? :mbe:

prova ad installare un antivirus e vedi se ti da errori...

hijackthis ti funziona? fai un log

UAC è quella funzione rompiballe abbastanza inutile (sebbene il buon intento con cui è nata) di windows vista che ti chiede "vuoi eseguire questo programma ecc ecc)"

ma sei sicuro di essere infetto? :mbe:

prova ad installare un antivirus e vedi se ti da errori...

hijackthis ti funziona? fai un log

senti per quale altro motivo potrei essere impossibilitato ad attivare il centro sicurezza?
ieri mi usci una finestra "windows sta bloccando winitems.exe, continuare a bloccarlo?" io ovviamente cliccai si...ma si disattivò cmq il centro sicurezza e da qui è partita tutta l'odissea sulla provenienza di questo file, che mi ha portato a voi

uè ma che lingua parli?:D
cosè UAC?
cmq ho provato a killare wininit.exe e mi sono trovato una schermata blu prepotente:)

User Account Control (UAC), già noto come User Account Protection o Least User Access, è un nuovo set di tecnologie di infrastruttura che consentono una migliore gestione del desktop riducendo nel contempo l'impatto dei malware sul sistema, comunque visto la menata che bisogna fare per disabilitarlo non credo.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23.20.58, on 28/09/2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilities\VolControl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Windows\Gtwatch.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\Gtwatch.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\sasà.PC-sasà\Desktop\gmer.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\sasà.PC-sasà\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5BQ4AU1\HiJackThis_v2[1].exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [] C:\Windows\Gtwatch.exe
O4 - HKLM\..\Run: [Gtwatch] C:\Windows\gtwatch.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B3070B-4FDF-422F-ACD1-7FB5CF55CCA3}: NameServer = 85.37.17.9 85.38.28.75
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 9735 bytes
.




PS: gmer mi ha trovato nei processi un wermgr.exe evidenziato in rosso

Bugs a me sembra pulito.
Edit: quel processo è sospetto, tentativo potresti fare uno scan con Prevx CSI e postare il log http://info.prevx.com/download.asp?grab=prevxcsi

Bugs a me sembra pulito.
Edit: quel processo è sospetto, tentativo potresti fare uno scan con Prevx CSI e postare il log http://info.prevx.com/download.asp?grab=prevxcsi

ma se lo killo direttamente da gmer rischio un'altra blue screen?


edit:
con PREVX CSI
"clould not connect to the internet. please establish a working, non-proxied internet connection"

ma che vuole questo ora?:(

non è che qualcuno mi blocca la connessione di questo programma?

wermgr.exe dovrebbe essere quella scocciatura di invio segnalazione errori di windows però dipende, dalle caratteristiche e dalla locazione, può anche essere malware...fai così:vedi dove lo loca gmer lo cerchi e vedi nelle proprietà se ha queste caratteristiche

Windows Problem Reporting

Version: 6.0.6000.16386 (vista_rtm.061101-2205)

Size: 61952 (60K)

MD5: 2C8D466741833D6CA430DA2B07BCB16A.

p.s. dovrebbe essere in system32.

molto male...

scarica questo file ed aprendolo integralo nel registro di sistema:

http://www.megalab.it/download.php?id=349

così si rimette a posto la mod provvisoria.
poi fai una scansione online con kaspersky in provvisoria con rete e allega il report

molto male...

scarica questo file ed aprendolo integralo nel registro di sistema:

http://www.megalab.it/download.php?id=349

così si rimette a posto la mod provvisoria.
poi fai una scansione online con kaspersky in provvisoria con rete e allega il report

ti rivolgi a me?se si a me la modalità provvisoria funziona

Allora... siamo messi così....
da gmer e vari NON risulti infetto ed inoltre la modalità provvisoria ti funziona...

fai una scansione online con kaspersky

Riesci ad installare antivirus?

ho allegato il file html creato da kaspersky online

C:\Windows\Panther\IEXPLORE.EXE Backdoor.Win32.Rukap.gen

C:\Windows\System32\algsrvs.exe Worm.Win32.VB.el

non c'è il bagle....

non hai risposto: RIESCI AD INSTALLARE ANTIVIRUS?

C:\Windows\Panther\IEXPLORE.EXE Backdoor.Win32.Rukap.gen

C:\Windows\System32\algsrvs.exe Worm.Win32.VB.el

non c'è il bagle....

non hai risposto: RIESCI AD INSTALLARE ANTIVIRUS?


non ho provato..non vorrei farlo litigare con norton...:stordita:
quale installo?nod32?

non ho provato..non vorrei farlo litigare con norton...:stordita:
quale installo?nod32?

MA COME SAREBBE A DIRE?!?
Noi ci stiamo scervellando da giorni per farti levare un presunto virus e ora scopriamo che NON sei infetto da bagle!

Leva norton e metti antivir....

ma cos'è uno scherzo :eek:

ma cos'è uno scherzo :eek:
Chill, socio, ve ne siete accorti solo ora?? :D

Chill, socio, ve ne siete accorti solo ora?? :D

beh si spera sempre di non aver visto qualcosa nel casino di gmer....:stordita:(e quindi di nn aver sprecato tempo e fatica)

sospettavo già da prima ma ho preferito aspettare l'ultima prova

Chill, socio, ve ne siete accorti solo ora?? :D

No detto sinceramente il dubbio mi era venuto guardando il log di Gmer Autostart, ce anche da dire che non avendo Vista sottomano diventa tutto più difficile.

vedo che vi siete dati da fare :D

vedo che vi siete dati da fare :D

per forza guarda la firma dell' utente non infetto da bagle :D

beh si spera sempre di non aver visto qualcosa nel casino di gmer....:stordita:(e quindi di nn aver sprecato tempo e fatica)

sospettavo già da prima ma ho preferito aspettare l'ultima prova

scusa mi spieghi che colpa ne ho?
ripeto che win mi ha detto che stava bloccando un file winitems.exe,
subito dopo si è disattivato il centro sicurezza. facendo una ricerca google ho capito che winitems è un file di bagle, e la disattivazione dell'antivirus è uno dei suoi sintomi..
ora questo forse non è più presente (infatti non lo trovo più, prima risultava anche con la funzione cerca di win) ma il centro sicurezza non si attiva ugualmente.
dicendo una cassata, il virus è andato più a fondo e non si trova più:stordita:

per forza guarda la firma dell' utente non infetto da bagle :D
non ti voglio attaccare ma che vuol dire sta cosa?:mbe: :mbe:

scusa mi spieghi che colpa ne ho?
ripeto che win mi ha detto che stava bloccando un file winitems.exe,
subito dopo si è disattivato il centro sicurezza. facendo una ricerca google ho capito che winitems è un file di bagle, e la disattivazione dell'antivirus è uno dei suoi sintomi..


nessuna colpa,comunque vai nella lista servizi

Start>pannello di controllo>prestazioni e manutenzione>strumenti di amministrazione>servizi>seleziona centro sicurezza pc e clicca su avvia

Start>pannello di controllo>prestazioni e manutenzione>strumenti di amministrazione>servizi>seleziona centro sicurezza pc e clicca su avvia
Amen .... Juninho, invidio, davvero, la tua capacità di sintesi.

che ho fatto?:stordita:

per la cronaca con una scansione di nod32 sono risultato infettato

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.57 - Win32/Bagle.JV worm:fagiano:

ora è stato cancellato direttamente da nod32 durante la scansione

potresti avere ancora dei residui,segui e posta in questo (http://www.hwupgrade.it/forum/showthread.php?t=1562611) thread