View Full Version : situazione molto critica
dopo aver aperto un eseguibile il pc si è infettato in modo grave:
non vedo nel menu start i programmi, pannello di controllo ma vedo solo stampanti e fax, se vado su risorse computer non c'è il disco fisso principale, sto tentando una scansione con avg e ad-aware ma si bloccano o non danno risultati, inoltre ho notato che si sono installti 3 programmi: error cleaner, prycacy protector e spyware protection.
Spesso appare messaggio "spyware alert" che comunica che il pc è infetto da
"worm.win32.netbooster"
Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.
Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):
log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI
Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.
Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=22872366&postcount=1) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log
link utili a portata di click
caricamento log wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)
ok più tardi provvedo, l'unica cosa è che mi tocca accedere a internet per scaricare questi softwre poichè non riconosce più periferiche esterne, più tardi posto i risultati
xcdegasp
12-07-2008, 11:32
altrimenti devi provare a scaricarli dal pc di un tuo amico mettendoli su cd, così sei sicuro che l'eventuale chiavetta usb non si sia infettata nel tuo pc e limiti le possibilità di contagio :)
allora, ho fatto scansione con ad-aware, rileva il problema( lo segna a pericolosità 10) e non eisce però a eliminarlo; superantispyware non rileva nulla, scansione con avg non risolve problema, alcune applicazioni non sono riuscite a avviarle causa virus, posti i log di :
hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46: VIRUS ALERT!, on 2008-07-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\COMODO\Firewall\cmdagent.exe
C:\Documents and Settings\All Users.WINXP\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINXP\system32\svchost.exe
C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINXP\system32\atwtusb.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\COMODO\Firewall\cfp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINXP\system32\ctfmon.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\AVG\AVG8\avgui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sanaydf.exe
O2 - BHO: (no name) - {4294660D-CEC5-41E5-9212-A7712B691639} - C:\WINXP\system32\nnnliiGA.dll (file missing)
O2 - BHO: (no name) - {43FCD2CF-5569-4208-97D2-52748E0EF6A0} - C:\WINXP\system32\tuvTJcaW.dll (file missing)
O2 - BHO: {cac38bf3-1fa7-a03b-ab64-6cbe478cebc4} - {4cbec874-ebc6-46ba-b30a-7af13fb83cac} - C:\WINXP\system32\ulzlnd.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QXK Olive - {66CFE262-41EC-4398-9D49-698CEAF9C1D9} - C:\WINXP\wbxdpgfefse.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\system32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: sqvgnrpx - {D1FAB52D-CD54-47B0-9BD3-F325CF4C7BA8} - C:\WINXP\sqvgnrpx.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINXP\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [lphcav6j0er91] C:\WINXP\system32\lphcav6j0er91.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "D:\Temp\E_SC7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197911277812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197911397625
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://dark-lord-26.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B68F616-2229-480B-A110-CF7700C7D2C4}: NameServer = 192.168.1.1,212.216.112.112
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: tuvTJcaW - tuvTJcaW.dll (file missing)
O21 - SSODL: fsrpknov - {93B0FDFB-19AC-4E96-93C4-334964DD3F91} - C:\WINXP\fsrpknov.dll
O21 - SSODL: fdxbameg - {12A33E63-CAF8-4F4C-BF7B-67F4EC767529} - C:\WINXP\fdxbameg.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\Firewall\cmdagent.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users.WINXP\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINXP\system32\PSIService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 10762 bytes
avgscan:
AVG 8.0 Anti-Virus command line scanner
Copyright (c) 1992 - 2008 AVG Technologies
Program version 8.0.134, engine 8.0.0
Virus Database: Version 270.4.10/1549 2008-07-12
C:\WINXP\system32\tuvTJcaW.dll Trojan horse Generic10.BBWS Object was moved to Virus Vault.
C:\WINXP\system32\winlogon.exe (308) Trojan horse Generic10.BBWS Object was moved to Virus Vault.
C:\WINXP\system32\nnnliiGA.dll Trojan horse BHO.ERT Object was moved to Virus Vault.
C:\WINXP\system32\lsass.exe (364) Trojan horse BHO.ERT Object was moved to Virus Vault.
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\DSS\MachineKeys\848bce3bca2ed28cf5efba88c93105d4_d6ff3875-eb89-4afa-9109-6b5503591af7 Locked file. Not tested.
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson\user.dmp Locked file. Not tested.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Locked file. Not tested.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested.
C:\Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DAT Locked file. Not tested.
C:\Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOG Locked file. Not tested.
C:\Documents and Settings\nuovo xp\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Locked file. Not tested.
C:\Documents and Settings\nuovo xp\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested.
C:\Documents and Settings\nuovo xp\ntuser.dat Locked file. Not tested.
C:\Documents and Settings\nuovo xp\ntuser.dat.LOG Locked file. Not tested.
C:\pagefile.sys Locked file. Not tested.
C:\Programmi\File comuni\Services\oNK.txt Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De20.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De21.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De22.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De23.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De24.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De25.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De26.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De27.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De28.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De29.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De30.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De31.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De32.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De33.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De34.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De35.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De36.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De37.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De38.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De39.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De40.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De41.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De42.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De43.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De44.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De45.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De46.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De47.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De48.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De49.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De50.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De51.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De52.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De53.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De54.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De55.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De56.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De57.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De58.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De59.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De60.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De61.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De62.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De64.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De66.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De67.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De68.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De69.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De70.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De71.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De72.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De73.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De74.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De75.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De76.exe Locked file. Not tested.
C:\RECYCLER\S-1-5-21-746137067-1202660629-725345543-1003\De77.exe Locked file. Not tested.
C:\System Volume Information\ Locked file. Not tested.
C:\WINXP\system32\byXqqPji.dll Trojan horse Generic10.BBWS Object was moved to Virus Vault.
C:\WINXP\system32\config\default Locked file. Not tested.
C:\WINXP\system32\config\default.LOG Locked file. Not tested.
C:\WINXP\system32\config\SAM Locked file. Not tested.
C:\WINXP\system32\config\SAM.LOG Locked file. Not tested.
C:\WINXP\system32\config\SECURITY Locked file. Not tested.
C:\WINXP\system32\config\SECURITY.LOG Locked file. Not tested.
C:\WINXP\system32\config\software Locked file. Not tested.
C:\WINXP\system32\config\software.LOG Locked file. Not tested.
C:\WINXP\system32\config\system Locked file. Not tested.
C:\WINXP\system32\config\system.LOG Locked file. Not tested.
C:\WINXP\system32\drivers\atapi.sys Locked file. Not tested.
C:\WINXP\system32\jkkKaaxV.dll Trojan horse Generic10.BBWS Object was moved to Virus Vault.
C:\WINXP\system32\nnnliiGA.dll Trojan horse BHO.ERT Object was moved to Virus Vault.
C:\WINXP\system32\opnnkhGY.dll Trojan horse Generic10.BBWS Object was moved to Virus Vault.
C:\WINXP\system32\tuvTJcaW.dll Trojan horse Generic10.BBWS Object was moved to Virus Vault.
D:\System Volume Information\ Locked file. Not tested.
------------------------------------------------------------
Objects scanned : 618219
Found infections : 9
Found PUPs : 0
Healed infections : 9
Healed PUPs : 0
a-squared:
a-squared Anti-Malware - Versione 3.5
Last update: 2008-07-13 10:27:42
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 2008-07-13 12:53:10
c:\programmi\need2find rilevati: Trace.Directory.P2PNetworking
c:\programmi\rxtoolbar\graphics rilevati: Trace.Directory.RX Toolbar
c:\programmi\rxtoolbar\html rilevati: Trace.Directory.RX Toolbar
c:\programmi\rxtoolbar rilevati: Trace.Directory.RXToolbar
c:\programmi\rxtoolbar\graphics\additional.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\additional_active.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\background.jpg rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\blue_hr_horz.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\gray_hr_horz.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\thumbtack.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\thumbtack_active.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\graphics\thumbtack_click.gif rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\html\content.htm rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\html\main.htm rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\rx.xml rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\rxwebsearches.xsl rilevati: Trace.File.RX Toolbar
c:\programmi\rxtoolbar\sfcont.bin rilevati: Trace.File.RX Toolbar
Key: HKEY_CURRENT_USER\software\imesh rilevati: Trace.Registry.IMesh
Key: HKEY_CLASSES_ROOT\clsid\{1dbab667-a486-421e-afe4-cf07dd0088e5} rilevati: Trace.Registry.Suspicious
Value: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar --> {1dbab667-a486-421e-afe4-cf07dd0088e5} rilevati: Trace.Registry.Suspicious
c:\programmi\need2find rilevati: Trace.Directory.Need2Find Bar
c:\programmi\need2find\bar rilevati: Trace.Directory.Need2Find Bar
c:\programmi\need2find\bar\1.bin rilevati: Trace.Directory.Need2Find Bar
c:\programmi\macrogaming\sweetim rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\conf rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\conf\users rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\data rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\data\contentdb rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\logs rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetim\update rilevati: Trace.Directory.Sweet IM
c:\programmi\macrogaming\sweetimbarforie rilevati: Trace.Directory.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\cache rilevati: Trace.Directory.SweetIMBarForIE
c:\programmi\need2find\bar\1.bin\n2ffxtbr.jar rilevati: Trace.File.Need2Find Bar
c:\programmi\need2find\bar\1.bin\n2ntstbr.jar rilevati: Trace.File.Need2Find Bar
c:\programmi\need2find\bar\1.bin\partner.dat rilevati: Trace.File.Need2Find Bar
c:\programmi\macrogaming\sweetim\conf\adapter.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\autoupdate.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\logger.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\messages.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\sweetim.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\sweetimapp.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\conf\users\main_user_config.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\data\contentdb\cache_indx.dat rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\default.xml rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgadaptersproxy.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgarchive.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgcommon.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgcommunication.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgconfig.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgflashplayer.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mghooking.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgieplayer.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mglogger.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgmediaplayer.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgmsnauto.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgmsnmessengeradapter.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgsweetim.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgupdatesupport.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgxml_wrapper.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgyahooauto.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\mgyahoomessengeradapter.dll rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetim\sweetim.exe rilevati: Trace.File.Sweet IM
c:\programmi\macrogaming\sweetimbarforie\affid.dat rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\basis.xml rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\bookmarks_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\cache\cd2005c66fba47ff715ecc444d3bc1fb.xml rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\email_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\games_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\greetingcards_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\mobile_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\music_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\news_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\shoping_23x18.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\smileysmile.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\smileywink.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\sweetimicons.bmp rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\toolbar.crc rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\toolbar.xml rilevati: Trace.File.SweetIMBarForIE
c:\programmi\macrogaming\sweetimbarforie\version.txt rilevati: Trace.File.SweetIMBarForIE
Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{EFC25C6F-1A04-43FD-AB25-0F3ED89E050A}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EFC25C6F-1A04-43FD-AB25-0F3ED89E050A}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CURRENT_USER\Software\iMesh --> LastOpenFileDir rilevati: Trace.Registry.iMesh
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Macrogaming\SweetIM --> InstallDir rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Macrogaming\SweetIM --> simapp_id rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> AuthorizedCDFPrefix rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Comments rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Contact rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> DisplayName rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> DisplayVersion rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> EstimatedSize rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> HelpLink rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> HelpTelephone rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> InstallDate rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> InstallLocation rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Language rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> ModifyPath rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> NoModify rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Publisher rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Readme rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Size rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> UninstallString rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> URLInfoAbout rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> URLUpdateInfo rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> Version rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> VersionMajor rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> VersionMinor rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495} --> WindowsInstaller rilevati: Trace.Registry.Sweet IM
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar --> {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> AuthorizedCDFPrefix rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Comments rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Contact rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> DisplayName rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> DisplayVersion rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> EstimatedSize rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> HelpLink rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> HelpTelephone rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> InstallDate rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> InstallLocation rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Language rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> ModifyPath rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> NoModify rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Publisher rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Readme rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Size rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> UninstallString rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> URLInfoAbout rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> URLUpdateInfo rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> Version rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> VersionMajor rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> VersionMinor rilevati: Trace.Registry.SweetIMBarForIE
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481} --> WindowsInstaller rilevati: Trace.Registry.SweetIMBarForIE
c:\programmi\wav to mp3 encoder rilevati: Trace.Directory.WAV to MP3 Encoder 1.0
c:\programmi\nufsoft\waterillusion rilevati: Trace.Directory.WaterIllusion 1.7
C:\Documents and Settings\nuovo xp\Cookies\nuovo_xp@190[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\nuovo xp\Cookies\nuovo_xp@atdmt[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\nuovo xp\Cookies\nuovo_xp@doubleclick[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\nuovo xp\Cookies\nuovo_xp@tradedoubler[2].txt rilevati: Trace.TrackingCookie
Scansionati
Files: 474472
Tracce: 188064
Cookies: 78
Processi: 12
Rilevato
Files: 0
Tracce: 137
Cookies: 4
Processi: 0
Chiavi registro: 0
Fine scansione: 2008-07-13 16:29:38
Tempo scansione: 3:36:28
confido nel vostro aiuto! in quanto al termine delle scansioi la situazione è iimmutata
Chill-Out
14-07-2008, 00:03
Allega i log secondo le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), ovvero hosta i log in formato .txt su i seguenti server http://fileqube.com/ o http://wikisend.com/ grazie per la collaborazione
Dopo aver sistemato i log procedi così:
Scansione complete scan ovviamente dopo averlo installato ed aggiornato con SUPERANTISPYWARE ==> http://www.hwupgrade.it/forum/showthread.php?t=1567399
Scansione completa ovviamente dopo averlo installato e aggiornato con MalwareBytes' Antimalware (http://www.malwarebytes.org/mbam.php)
NB: gli eventuali malware rilevati vanno messi in quarantena e ricorda di allegare i log
http://www.fileqube.com/shared/qJMXbG60178 (hijackthis)
http://www.fileqube.com/shared/ylHXnPn60179 (avgscan)
http://www.fileqube.com/shared/sBubYTYIZ60180 (a-squared)
come già detto superantispyware non rileva nulla, mentre ad-aware e avg rilevano le infezioni e le indicno nel file eseguibile causa del problema, al quale non posso accedere visto che non viene visulizzato il disco fisso C.
a-sqaured ha rilevato qualcosa, eliminato ma senza successo, per quanto riguarda gli altri softwre da voi citati la procedura si interrompe e il pc si spegne o non riesco a installarmi...come procedo?
Chill-Out
14-07-2008, 16:09
Dal log di a-squared non sembra che le tracce rilevate siano state messe in quarantena, che azione hai intrapreso?
Esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
O2 - BHO: (no name) - {4294660D-CEC5-41E5-9212-A7712B691639} - C:\WINXP\system32\nnnliiGA.dll (file missing)
O2 - BHO: (no name) - {43FCD2CF-5569-4208-97D2-52748E0EF6A0} - C:\WINXP\system32\tuvTJcaW.dll (file missing)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: tuvTJcaW - tuvTJcaW.dll (file missing)
clicca su Fix checked
Questa voce temo si ricrearà successivamente
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Adesso non interessano i log relativi alla Guida alla disinfezione come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=23302475&postcount=6 devi far girare Malwarebytes' Anti-Malware
Allegami anche il log di SAS
NB: se la scansione con Malwarebytes non dovesse andare a buon fine scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
hijackthis non riesce a cancellare la voce 07 in quanto appare il messaggio: "l'editor di registro è stato disabilitato dall'amministratore di sistema" stesso messaggio che appare per task manager.
inoltre se può essere utile sono riuscito tramite altri percorsi a giungere al pannello di controllo. In più appaiono continuamente e ovunque messaggi che avertono della presenza di materiale dannoso per il pc, proponendo software e pagine web.
ecco il risultato della scansione che ho fatto con SAS:
http://www.fileqube.com/shared/eNLAbSScD61054
mentre questo il risultato della scansione di malwarebytes
http://www.fileqube.com/shared/yqYJuqeM61527
dove però a causa di crash del pc non ho potuto eliminare le infezioni, vi comunico anche che il computer è estremamente lento, per rendere l'idea la scansione è durata circa 12 ore!
altra cosa: io ora scrivo da notebook con accesso adsl tramite il pc infetto, tenendo protezione firewall alta e disabilitando condivisioni files, rischio qualcosa?
Chill-Out
16-07-2008, 12:44
http://www.hwupgrade.it/forum/showpost.php?p=23310845&postcount=8 hai letto il Nota Bene? poi dal momento che la situazione risulta piuttosto compromessa segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Antivir Rescue System ==>> opzione 2 per disinfettare il PC
Ovviamente devi creare il DVD sul Note funzionante
allora ci sono buone novità! Ho rieseguito la scansione con malwarebytes, stavolta sono riuscito a terminarla cancellando i ifle dannosi, solo tre non riesce a levare:
Moduli della memoria infetti:
C:\WINXP\fdxbameg.dll (Trojan.FakeAlert)
C:\WINXP\sqvgnrpx.dll (Trojan.FakeAlert)
C:\WINXP\wbxdpgfefse.dll (Trojan.FakeAlert)
che però non riesco a trovare. Ora però dopo il riavvio il pc ha ripreso le prestazioni standard, funziona di nuovo task manager e sono visibile le unità e i pannelli di controllo, insomma sembra a posto.
Per essere certo procedo che posso fare? rieseguo i programmi menzionati o provo con avira resque system?
Chill-Out
16-07-2008, 19:21
allora ci sono buone novità! Ho rieseguito la scansione con malwarebytes, stavolta sono riuscito a terminarla cancellando i ifle dannosi, solo tre non riesce a levare:
Moduli della memoria infetti:
C:\WINXP\fdxbameg.dll (Trojan.FakeAlert)
C:\WINXP\sqvgnrpx.dll (Trojan.FakeAlert)
C:\WINXP\wbxdpgfefse.dll (Trojan.FakeAlert)
che però non riesco a trovare. Ora però dopo il riavvio il pc ha ripreso le prestazioni standard, funziona di nuovo task manager e sono visibile le unità e i pannelli di controllo, insomma sembra a posto.
Per essere certo procedo che posso fare? rieseguo i programmi menzionati o provo con avira resque system?
No visto che la situazione è cambiata fai girare SmitfraudFix è la terza volta che te lo dico :)
Oltre alle indicazioni che ti sono state date scarica avenger http://swandog46.geekstogo.com/avenger2/download.php , avvialo e nella casella bianca scrivi:
Files to delete:
C:\WINXP\system32\sanaydf.exe
C:\WINXP\fdxbameg.dll
C:\WINXP\sqvgnrpx.dll
C:\WINXP\wbxdpgfefse.dll
Poi allega il log avenger che comparirà dopo il riavvio
Poi vedi se riesci ad entrare nel registro (start--->esegui-->regedit) se si fai così:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
a destra trovi Userinit, cliccaci su 2 volte e nel campo valore, elimina tutto quello che trovi dopo la virgola.Deve rimanere solo C:\WINXP\system32\userinit.exe, compresa la virgola!!. Riavvia il pc e posta un nuovo log hijackthis.
ecco il rapporto di SmitfraudFix :
http://www.fileqube.com/shared/wxdjYiT61776
ho provato un'altra scansione con ad-aware e non rileva più nulla, che dite sono salvo?!
Oltre alle indicazioni che ti sono state date scarica avenger http://swandog46.geekstogo.com/avenger2/download.php , avvialo e nella casella bianca scrivi:
Files to delete:
C:\WINXP\system32\sanaydf.exe
C:\WINXP\fdxbameg.dll
C:\WINXP\sqvgnrpx.dll
C:\WINXP\wbxdpgfefse.dll
Poi allega il log avenger che comparirà dopo il riavvio
Poi vedi se riesci ad entrare nel registro (start--->esegui-->regedit) se si fai così:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
a destra trovi Userinit, cliccaci su 2 volte e nel campo valore, elimina tutto quello che trovi dopo la virgola.Deve rimanere solo C:\WINXP\system32\userinit.exe, compresa la virgola!!. Riavvia il pc e posta un nuovo log hijackthis.
allora averenger non trova quei files, eccovi il log:
http://www.fileqube.com/shared/HAgVwVv61781
successivamente ho eliminato la voce che era presente dopo la virgola, e al riavvio ecco il log di hijackthis:
http://www.fileqube.com/shared/StpaDUUt61782
Direi che sei a posto:)
Fixa solo questo:
O2 - BHO: {cac38bf3-1fa7-a03b-ab64-6cbe478cebc4} - {4cbec874-ebc6-46ba-b30a-7af13fb83cac} - (no file)
Poi potresti togliere un po' di applicazioni inutili all'avvio fixando le relative voci 04 in hijackthis (puoi anche lasciare solo antivirus e firewall);)
Chill-Out
17-07-2008, 08:59
Se non riscontri ulteriori problemi segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
Chill-Out
17-07-2008, 11:47
Se non riscontri ulteriori problemi segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
successivamente ho eliminato la voce che era presente dopo la virgola, e al riavvio ecco il log di hijackthis:
curiosità mi indichi qual'era la voce presente dopo la virgola, thx.
curiosità mi indichi qual'era la voce presente dopo la virgola, thx.
Era questa C:\WINXP\system32\sanaydf.exe
si vede dal log hijackthis, precisamente questa riga:
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sanaydf.exe :)
Chill-Out
17-07-2008, 12:06
Era questa C:\WINXP\system32\sanaydf.exe
si vede dal log hijackthis, precisamente questa riga:
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sanaydf.exe :)
Bizzarro, dopo aver visto il log di Smitfraud http://www.fileqube.com/shared/wxdjYiT61776 :)
Era questa C:\WINXP\system32\sanaydf.exe
si vede dal log hijackthis, precisamente questa riga:
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sanaydf.exe :)
confermo era quello, grazie veramente dell'aiuto!
ultima cosa, leggendo la guida postata da voi ora, noto che il ripristino configurazione sistema non funziona, non crea punti autmatici (anche se è settato) e se li creo manuali poi visualizza nulla nel calendario, non visualizza neppure le date
Chill-Out
18-07-2008, 09:57
confermo era quello, grazie veramente dell'aiuto!
strano :mbe:
ultima cosa, leggendo la guida postata da voi ora, noto che il ripristino configurazione sistema non funziona, non crea punti autmatici (anche se è settato) e se li creo manuali poi visualizza nulla nel calendario, non visualizza neppure le date
Fai queste 2 verifiche:
1 - Da Start - tasto dx del mouse su Risorse del computer e clicca su Proprietà seleziona la scheda Ripristino configurazione di sistema e controlla che l'opzione Disattiva Ripristino configurazione di sistema non sia selezionata, verifica inoltre la % di Spazio su disco da utlizzare
2 - Da Start - Esegui digita services.msc si aprirà la finestra relativa ai Servizi, scorri in basso fino a trovare Servizio Ripristino configurazione di sistema verifica che l'opzione Tipo di avvio sia impostata su Automatico e che Stato servizio sia stato attivato.
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.