PDA

View Full Version : Strano problema [possibile virus?]

hurakan
27-09-2007, 09:45
Allora da un paio di giorni quando avvio windows Xp (sp2), dopo aver selezionato l'utente entra nella schermata di windows ma mi mostra solo il desktop. Allora aprendo task manager vado su esegui e devo far partire a mano "explorer.exe" che tra l'altro era sparito sia dalla cartella "\windows" che da "\windows\system32"
ma son riuscito a recuperarlo da una cartella di backup che stava dentro "\windows\system32"

Da oggi, dopo una scansione con RegistryBooster, sembra essere andato a posto l'avvio.

Il fatto che più mi insospettisce però è il fatto che all'interno della cartella "\windows" in pratica ci sono solo 4/5 file fissi e poi vedo di continuo apparire e scomparire file quali: explorer.exe, twunk_32.exe, twunk_16.exe, insomma un pò i soliti file che dovrebbero rimanere in questa cartella.

Inoltre ho notato la comparsa di 2 cartelle, denominate "good" e "bad" con all'interno appunto questi file!
Ho provato a copiare questi file all'interno della cartella "\windows" ma dopo poco iniziano a scomparire ed apparire.

ho provato scansioni complete con Stinger, NOD32 (che tengo sempre attivo) e Spybot ma non hanno rilevato niente.

chi mi può aiutare?? Grazie!
xcdegasp
27-09-2007, 11:45
allora procediamo per gradi...
ipotizzando la situazione peggiore si potrebbe dire che sei pieno come un uovo.

io proverei subito con 3 programmi:
prevx CSI
panda antirootkit
a-squared-free

il primo che userei è il panda, poi a-squared e prevx.

fatto questo vediamo cosa trovano e quanti malware (sapere cosa hanno trovato è motlo d'aiuto).
poi procediamo con il resto delle analisi.
hurakan
27-09-2007, 14:56
ho effetuato la scansione con tutti e 3 gli strumenti consigliati:

prevx CSI: trovato niente

panda antirootkit: trovato niente

a-squared-free ha trovato questo:

c:\programmi\qualcomm\eudora\eudpriv\ads\adcache rilevati: Trace.Directory.Cydoor
Key: HKEY_CLASSES_ROOT\interface\{0a45db4d-bd0d-11d2-8d14-00104b9e072a} rilevati: Trace.Registry.BonziBuddy
Key: HKEY_CLASSES_ROOT\interface\{0a45db4e-bd0d-11d2-8d14-00104b9e072a} rilevati: Trace.Registry.BonziBuddy
Key: HKEY_CLASSES_ROOT\interface\{e91e27a2-c5ae-11d2-8d1b-00104b9e072a} rilevati: Trace.Registry.BonziBuddy
Key: HKEY_LOCAL_MACHINE\software\orl\winvnc3 rilevati: Trace.Registry.VNC.CommonComponents
Value: HKEY_USERS\S-1-5-21-1844237615-1614895754-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\WhenU --> Order rilevati: Trace.Registry.WhenU.SaveNow
Value: HKEY_CLASSES_ROOT\CLSID\{183261F8-780B-4506-BE91-434C01DD010A}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Remotely Anywhere Server Edition
Value: HKEY_CLASSES_ROOT\CLSID\{43534152-0000-0010-8000-00AA00389B71}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Remotely Anywhere Server Edition
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{183261F8-780B-4506-BE91-434C01DD010A}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Remotely Anywhere Server Edition
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43534152-0000-0010-8000-00AA00389B71}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Remotely Anywhere Server Edition
c:\documents and settings\hurakan\dati applicazioni\bsplayer pro rilevati: Trace.Directory.BSplayer
c:\documents and settings\hurakan\dati applicazioni\bsplayer pro\bsplayer.xml rilevati: Trace.File.BSplayer
c:\documents and settings\hurakan\dati applicazioni\bsplayer pro\eq.xml rilevati: Trace.File.BSplayer
Value: HKEY_USERS\S-1-5-21-1844237615-1614895754-839522115-1003\Software\BST\bsplayerv1 --> AppPath rilevati: Trace.Registry.BSplayer
Value: HKEY_USERS\S-1-5-21-1844237615-1614895754-839522115-1003\Software\BST\bsplayerv1 --> AppVer rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\EventHandlers\PlayCDAudioOnArrival --> BSplayerCDDA rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\BSplayerCDDA --> Action rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\BSplayerCDDA --> DefaultIcon rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\BSplayerCDDA --> InvokeProgID rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\BSplayerCDDA --> InvokeVerb rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\BSplayerCDDA --> Provider rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BSPlayer1 --> DisplayName rilevati: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BSPlayer1 --> UninstallString rilevati: Trace.Registry.BSplayer
C:\Documents and Settings\hurAkan\Cookies\hurakan@190[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@190[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@commandandconquer[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@com[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@indextools[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@indextools[3].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@linktarget[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\hurakan@realmedia[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][3].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][5].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:429 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:461 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:789 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:794 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:795 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:796 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:805 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:806 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:807 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:808 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:809 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:854 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:869 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:870 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:871 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:872 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:873 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:874 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:875 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:876 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:877 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:878 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:879 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:880 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:881 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:882 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:883 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:884 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:885 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:886 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:887 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:888 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:889 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:890 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:897 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:911 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:947 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:948 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:949 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:950 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:951 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:952 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:953 rilevati: Trace.TrackingCookie
C:\Documents and Settings\hurAkan\Dati applicazioni\Mozilla\Firefox\Profiles\pc61hatt.default\cookies.txt:954 rilevati: Trace.TrackingCookie
C:\WINDOWS\bad\NGOUN.exe rilevati: Trojan.Win32.Agent.ho

Scansionati

Files: 200950
Tracce: 385948
Cookies: 2270
Processi: 39

Rilevato

Files: 1
Tracce: 23
Cookies: 62
Processi: 0
Chiavi registro: 0

Fine scansione: 27/09/2007 13.37.37
Tempo scansione: 0.40.02

da notare la cartella: C:\WINDOWS\bad\
hurakan
27-09-2007, 20:04
ho effettuato scansioni con almeno 4 diversi antivirus online.. e nessuno mi ha trovato virus.

anche se cancello le cartelle "good" e "bad" in windows queste continuano a ricrearsi come per magia.. nessuno mi può aiutare?
Bugs Bunny
27-09-2007, 21:14
log di hijackthis e eventuali righe rosse in gmer
xcdegasp
28-09-2007, 00:05
oltre a quello giustamente consigliato da Bugs Bunny, aggiungo di eseguire:
http://noahdfear.geekstogo.com/FindAWF.exe

e postare qui il log.

quel file nella cartella bad prova a farlo scansionare su "virustotal.com" ;)
hurakan
28-09-2007, 01:37
AWF report

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
hurakan
28-09-2007, 01:40
HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.37.44, on 28/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\LogMeIn\x86\RaMaint.exe
C:\Programmi\LogMeIn\x86\LogMeIn.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\explorer.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ASUS\AI Suite\AiNap\AiNap.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\eMule0.48a-StulleMule-v5.3\emule.exe
C:\WINDOWS\system32\spoolsv.exe
D:\scaricati\Program\[AntiSpyware - Privacy - Spam - AntiVirus - Ottimizzazione]\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {00011268-E188-40DF-A514-835FCD78B1BF} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programmi\File comuni\ReGet Shared\Catcher.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programmi\ReGet Deluxe 4.2\iebar.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ai Nap] "C:\Programmi\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Re&Get Deluxe - C:\Programmi\File comuni\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Scarica tutto con &ReGet Deluxe - C:\Programmi\File comuni\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2474.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189862067823
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189862050511
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.12print.it/cab/ImageUploader4.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {DA25EE3A-530B-4494-AA8A-AA52557E37B6} (LinkedIn Signature Control) - http://www.linkedin.com/cab/LinkedInSignatureControl.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF4640A2-8F0A-41D4-9BE7-DBFA67292728}: NameServer = 212.216.112.112,212.216.172.62
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\LogMeIn.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10292 bytes
xcdegasp
28-09-2007, 07:51
fixa:
O2 - BHO: (no name) - {00011268-E188-40DF-A514-835FCD78B1BF} - (no file)

questra non la conosco:
C:\WINDOWS\system32\PnkBstrA.exe

e la potenza di a-squared si è notata un'altra volta :)
hurakan
28-09-2007, 09:39
questra non la conosco:
C:\WINDOWS\system32\PnkBstrA.exe


questo è un controllo anticheater del gioco America's Army (http://www.americasarmy.com/)
hurakan
28-09-2007, 09:47
GMER si blocca a metà della scansione.. anzi mi crasha proprio il pc..
inoltre quando riavvio se vado nella cartella "c:\windows\bad" trovo i file di gmer

Inoltre ogni volta che avvio il pc devo avviare manualmente "explorer.exe" che trovo in "c:\windows\system32" .. c'è modo di risolvere questo problema? (pensavo di aver risolto ma dev'essere stato un caso fortunato..)

ho già vericificato il problema segnalato nell'altro thread (quello della chiave di registro Image File Execution Options) ma non ne sono affetto..
Chill-Out
28-09-2007, 10:17
Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/file/d0448a545be4e580fa64bbb0c0336a804be35a818a68e46a4283ca3e98e9fffa/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" e avvia la pulizia.

Disattiva ripristino configurazione sistema - riavvia in modalità provvisoria F8
Da fixare:
C:\WINDOWS\system32\explorer.exe -Trojan
Successivamente devi rimuovere manualmente i valori dal Registro del sistema:
Fare clic su Start > Esegui.
Digitare regedit
Fare clic su OK.
Andare alla sottochiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eliminare il seguente valore nel riquadro di destra:
"rundll32" = "C:\WINDOWS\system32\explorer.exe"
Uscire dall'Editor del Registro di sistema.

N.B.: Come fare il backup del Registro di sistema
http://support.microsoft.com/kb/322756/
Bugs Bunny
28-09-2007, 13:47
cioè... c'è un explorer.exe in windows e uno in windows\system32 ?

puoi fare qualche screen dei files e delle cartelle good e bad?

fai una scansione con antivir e panda antirootkit

secondo me ci troviamo di fronte ad un nuovo virus...
hurakan
28-09-2007, 19:10
Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/file/d0448a545be4e580fa64bbb0c0336a804be35a818a68e46a4283ca3e98e9fffa/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" e avvia la pulizia.

Lo uso già da tempo, ho comunque ripetuto la procedura.

Disattiva ripristino configurazione sistema - riavvia in modalità provvisoria F8
Da fixare:
C:\WINDOWS\system32\explorer.exe -Trojan
Successivamente devi rimuovere manualmente i valori dal Registro del sistema:
Fare clic su Start > Esegui.
Digitare regedit
Fare clic su OK.
Andare alla sottochiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eliminare il seguente valore nel riquadro di destra:
"rundll32" = "C:\WINDOWS\system32\explorer.exe"
Uscire dall'Editor del Registro di sistema.

entrato in modalità provvisoria dovrei comunque avviare manualmente "explorer.exe" ma non l'ho fatto.. ho eseguito tutto da task manager.. solo che questa chiave di registro non esiste..

inoltre vorrei sapere quale posizione dovrebbe occupare "explorer.exe" e in quale chiave di registro o file viene chiamato per farlo caricare all'entrata in windows?

inoltre ho notato che i file system.ini e win.ini son scomparsi dal pc.. cosa devo fare? ricrearli? dove li posiziono e soprattutto cosa ci scrivo?
Chill-Out
28-09-2007, 19:28
Hai fixato C:\WINDOWS\system32\explorer.exe
Se la chiave non esiste tanto meglio
Explorer.exe deve essere in C:\WINDOWS\
System.ini e win.ini clicca su start - digita msconfig controlla che non siano stati disabilitati.
hurakan
29-09-2007, 12:23
Hai fixato C:\WINDOWS\system32\explorer.exe
Se la chiave non esiste tanto meglio
Explorer.exe deve essere in C:\WINDOWS\
System.ini e win.ini clicca su start - digita msconfig controlla che non siano stati disabilitati.

system.ini e win.ini da msconfig non ci sono proprio..
Chill-Out
29-09-2007, 12:47
system.ini e win.ini da msconfig non ci sono proprio..

I file Sistem.Ini e Win.Ini servono soltanto a far funzionare i vecchi programmi a 16 bit, non ne è che siano stati disattivati tramite Start/Esegui/msconfig, selezionando "Avvio selettivo" è stato tolto il segno di spunta da "Elabora il file SYSTEM.INI" e "Elabora il file WIN.INI".
Riverside
29-09-2007, 13:14
La mia impressione è che ci siano problemi di diversa natura.
Per ora procedi in questo modo:

disabilita il Ripristino configurazione di sitema e scarica ed esegui i seguenti tool:

SYSCLEAN TRENDMICRO clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, sul Desktop, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita il ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean ed attendi il responso finale.

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

Poi pubblica (utilizza la funzione Gestisci allegati) entrambi i log ed un nuovo log di HThis