Salve, come da titolo ho il pc infetto. Ho seguito la guida alla disinfezione scansionando il pc con tutti i programmi.

Prevx mi continua a trovare brutte cose ma non so come cancellarle visto che gli altri programmi nn avevan trovato nulla di simile.

Screen prevx (quello skype.exe nn è skype voip che tutti conosciamo, è un programma che avevo rinominato con quel nome, e che non è stato mai rilevato come virus ne da avira ne da tutti gli altri softwares che ho Oo)
http://img18.imageshack.us/img18/1821/immagine23.jpg (http://img18.imageshack.us/i/immagine23.jpg/)

Log Gmer (qui l'unica voce rossa è Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ))
GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-10 01:18:29
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xA9B20606]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwConnectPort [0xA9BB60D2]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xA9B2005A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xA9B1FD3C]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwCreatePort [0xA9BB602C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xA9B21652]
SSDT B8769354 ZwCreateThread
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwDeleteFile [0xA9BB7CB0]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xA9B1FE46]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xA9B1FF30]
SSDT spqy.sys ZwEnumerateKey [0xB7EC5CA4]
SSDT spqy.sys ZwEnumerateValueKey [0xB7EC6032]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xA9B208CC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xA9B20362]
SSDT spqy.sys ZwOpenKey [0xB7EA70C0]
SSDT B8769340 ZwOpenProcess
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwOpenSection [0xA9BB69E0]
SSDT B8769345 ZwOpenThread
SSDT spqy.sys ZwQueryKey [0xB7EC610A]
SSDT spqy.sys ZwQueryValueKey [0xB7EC5F8A]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwSetContextThread [0xA9BB5BB4]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwSetInformationFile [0xA9BB7DE0]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xA9B1FBBA]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwShutdownSystem [0xA9BB6FA0]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xA9B20814]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xA9B20494]
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.) ZwWriteFileGather [0xA9BB7FB4]
SSDT B876934A ZwWriteVirtualMemory

INT 0x63 ? 896DEBF8
INT 0x73 ? 8A39EBF8
INT 0x73 ? 8A3A1BF8
INT 0x73 ? 896DEBF8
INT 0x73 ? 8A39EBF8
INT 0x83 ? 896DEBF8
INT 0x94 ? 896DEBF8
INT 0xB4 ? 896DEBF8
INT 0xB4 ? 896DEBF8
INT 0xB4 ? 896DEBF8
INT 0xB4 ? 896DEBF8

---- Kernel code sections - GMER 1.0.15 ----

? spqy.sys Impossibile trovare il file specificato. !
.text USBPORT.SYS!DllUnload B6E8662C 5 Bytes JMP 896DE1D8
? System32\Drivers\aolhjnzf.SYS Impossibile trovare il percorso specificato. !
? C:\DOCUME~1\Vasqua\IMPOST~1\Temp\urJ0R5j2.sys Impossibile trovare il file specificato. !
? C:\DOCUME~1\Vasqua\IMPOST~1\Temp\esihdrv.sys Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programmi\Comodo\Firewall\CPF.exe[192] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [FF, 25, 1E]
.text C:\Programmi\Comodo\Firewall\CPF.exe[192] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [05, 5F]
.text C:\Programmi\Comodo\Firewall\CPF.exe[192] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F08001E
.text C:\Programmi\MSN Messenger\MsnMsgr.Exe[612] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004DE392 C:\Programmi\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)
.text C:\Programmi\a-squared Free\a2service.exe[1832] kernel32.dll!CreateThread + 1A 7C810849 4 Bytes CALL 0045493D C:\Programmi\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] spqy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] spqy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] spqy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] spqy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] spqy.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EB7E9C] spqy.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [B813B950] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B813B950] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B813B950] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B813B950] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B813B950] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B813B910] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B813B730] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B813B6D0] inspect.sys (Comodo Personal Firewall Stateful Inspection Engine/COMODO)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 881C4738
Device \FileSystem\Ntfs \Ntfs 88077970
Device \FileSystem\Ntfs \Ntfs 88340B90
Device \FileSystem\Ntfs \Ntfs 8A4101F8
Device \FileSystem\Ntfs \Ntfs 885005D8
Device \FileSystem\Fastfat \FatCdrom 882196B0
Device \FileSystem\Fastfat \FatCdrom 881FB1C8
Device \FileSystem\Fastfat \FatCdrom 88364970
Device \FileSystem\Fastfat \FatCdrom 886A21F8
Device \Driver\sptd \Device\3773641298 spqy.sys

AttachedDevice \Driver\Tcpip \Device\Ip cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)

Device \Driver\PCI_PNP7548 \Device\00000050 spqy.sys
Device \Driver\usbuhci \Device\USBPDO-0 896DD458
Device \Driver\usbuhci \Device\USBPDO-1 896DD458
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A39F1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A39F1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A39F1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A39F1F8
Device \Driver\usbuhci \Device\USBPDO-2 896DD458
Device \Driver\usbehci \Device\USBPDO-3 896AE318
Device \Driver\usbuhci \Device\USBPDO-4 896DD458

AttachedDevice \Driver\Tcpip \Device\Tcp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)

Device \Driver\usbuhci \Device\USBPDO-5 896DD458
Device \Driver\usbuhci \Device\USBPDO-6 896DD458
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A4131F8
Device \Driver\usbehci \Device\USBPDO-7 896AE318
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A4131F8
Device \Driver\Cdrom \Device\CdRom0 8978F500
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A4131F8
Device \Driver\Cdrom \Device\CdRom1 8978F500
Device \Driver\NetBT \Device\NetBt_Wins_Export 89539500
Device \Driver\NetBT \Device\NetbiosSmb 89539500

AttachedDevice \Driver\Tcpip \Device\Udp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)

Device \Driver\usbuhci \Device\USBFDO-0 896DD458
Device \Driver\usbuhci \Device\USBFDO-1 896DD458
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 895F9500
Device \Driver\usbuhci \Device\USBFDO-2 896DD458
Device \Driver\NetBT \Device\NetBT_Tcpip_{C3A5E1A7-8234-4606-BAB7-0A9C54A5F06C} 89539500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 895F9500
Device \Driver\usbehci \Device\USBFDO-3 896AE318
Device \Driver\usbuhci \Device\USBFDO-4 896DD458
Device \Driver\Ftdisk \Device\FtControl 8A4131F8
Device \Driver\usbuhci \Device\USBFDO-5 896DD458
Device \Driver\usbuhci \Device\USBFDO-6 896DD458
Device \Driver\usbehci \Device\USBFDO-7 896AE318
Device \Driver\aolhjnzf \Device\Scsi\aolhjnzf1Port2Path0Target0Lun0 895C91F8
Device \Driver\JRAID \Device\Scsi\JRAID1 8A4111F8
Device \Driver\aolhjnzf \Device\Scsi\aolhjnzf1 895C91F8
Device \FileSystem\Fastfat \Fat 882196B0
Device \FileSystem\Fastfat \Fat 881FB1C8
Device \FileSystem\Fastfat \Fat 88364970
Device \FileSystem\Fastfat \Fat 886A21F8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 888911F8

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] kmupqajnb <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@DisplayName Image Universal
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb@Description Abilita l'accesso di input generico alle periferiche Human Interface (HID), che attiva e gestisce l'utilizzo di pulsanti predefiniti su tastiere, telecomandi e altre periferiche multimediali. Se il servizio ? stato arrestato, il pulsanti controllati dal servizio non funzioneranno. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\kmupqajnb\Parameters@ServiceDll C:\WINDOWS\system32\pesytez.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programmi\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCA 0x4E 0xAB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x66 0xBC 0xBA 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xAD 0x6B 0x8B 0xA6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x2B 0xD9 0x2E 0x45 ...
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@DisplayName Image Universal
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb@Description Abilita l'accesso di input generico alle periferiche Human Interface (HID), che attiva e gestisce l'utilizzo di pulsanti predefiniti su tastiere, telecomandi e altre periferiche multimediali. Se il servizio ? stato arrestato, il pulsanti controllati dal servizio non funzioneranno. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kmupqajnb\Parameters@ServiceDll C:\WINDOWS\system32\pesytez.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programmi\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCA 0x4E 0xAB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x66 0xBC 0xBA 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xAD 0x6B 0x8B 0xA6 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x2B 0xD9 0x2E 0x45 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service@LogSessionName stdout
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service@Active 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service@ControlFlags 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ApiTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ApiTraceGuid@Guid 485e7de9-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ApiTraceGuid@BitNames API_TRACE_IO
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\DriverProcessTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\DriverProcessTraceGuid@Guid 485e7ded-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\DriverProcessTraceGuid@BitNames DP_TRACE_API DP_TRACE_DDI DP_TRACE_GENERAL DP_TRACE_OBJECT DP_TRACE_POOL DP_TRACE_DRIVER DP_TRACE_DEVICE DP_TRACE_REQUEST DP_TRACE_FILEOBJECT DP_TRACE_IO DP_TRACE_PNP DP_TRACE_MEMORY DP_TRACE_IOTARGET DP_TRACE_FUNC DP_TRACE_STRING
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\MgrTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\MgrTraceGuid@Guid 485e7dea-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\MgrTraceGuid@BitNames MGR_TRACE_MGR MGR_TRACE_SERVICE_KEY MGR_TRACE_DEVNODE MGR_TRACE_PROCESS
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ProcessHelperTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ProcessHelperTraceGuid@Guid 485e7dec-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\ProcessHelperTraceGuid@BitNames PROCHELP_TRACE_EVENT PROCHELP_TRACE_QUERY
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\RpcTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\RpcTraceGuid@Guid 485e7de8-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\RpcTraceGuid@BitNames RPC_TRACE_AUTHENTICATION RPC_TRACE_SERVER RPC_TRACE_CLIENT RPC_TRACE_GENERAL
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\TestTraceGuid
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\TestTraceGuid@Guid 485e7deb-0a80-11d8-ad15-505054503030
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF Driver Manager Service\TestTraceGuid@BitNames TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xB2 0x46 0x9A 0xE2 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...

---- EOF - GMER 1.0.15 ----


Log HiJack
Logfile of HijackThis v1.99.1
Scan saved at 1.21.39, on 10/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programmi\Razer\Habu\razerhid.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Audio Deck\EnMixCPL.exe
C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\FRAPS\FRAPS.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\MagicTune Premium\GammaTray.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\Programmi\Razer\Habu\razertra.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Razer\Habu\razerofa.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MagicTune Premium\MagicTune.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Habu] C:\Programmi\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programmi\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Global Startup: GammaTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\Prevx\prevx.exe" /service (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programmi\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe


Fra i problemi che riscontro in maniera palese c'è un rallentamento del pc e l'home page di internet è stata modificata a trovarapido.com Prima non riuscivo neanche a visualizzare i file nascosti perchè ogni volta ricambiava l'impostazione automaticamente, adesso dopo tutte le scansioni fatte sembra che questo problema sia risolto.

Qualche Guru dei Virus mi indichi la retta via!

Salve, come da titolo ho il pc infetto. Ho seguito la guida alla disinfezione scansionando il pc con tutti i programmi.


Ciao in funzione di quanto sopra esposto è opportuno allegare i log di tutti i tool inerenti la Guida alla disinfezione, utilizzando i server Remoti indicati nelle Regole di sezione.

Ciao Chill! Quanto tempo! Ne è passato, ma il router funziona ancora come deve :D (questioni di tanto tempo fa)
Come prima cosa aggiorno dicendo che siccome adesso riesco a visuallizare i files nascosti, mi sono portato nelle directory dei files infetti trovati da prevx e li ho cancellati... adesso rimane solo quel midwrap3402.deu

log M A-M
Malwarebytes' Anti-Malware 1.40
Versione del database: 2575
Windows 5.1.2600 Service Pack 2

09/08/2009 19.41.49
mbam-log-2009-08-09 (19-41-49).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 195169
Tempo trascorso: 1 hour(s), 4 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 4
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


DoctorWeb http://wikisend.com/download/946398/cureit filtrato.txt

SysInspector http://wikisend.com/download/961696/SysInspector-BEAST-090809-2338.xml

Purtroppo di F-Secure non ho salvato il log, idem per a-squared. Ricordo per che entrambi hanno trovato diverse cose... a-squared tipo 107 files infetti (la maggior parte cookies) ed ho eliminato tutto.

Se è necessario che rifaccia le scansioni va bene.

Grazie

per a-squared dove premere il tastino "salva report", se puoi rifalla :)

poi inbstalla il sp3 che sarebbe ora di installarlo e poi le ultime tre scansioni che sono velocissime :)

ecco a-squared. (mi vede fraps come un virus, non capisco perchè... l'ho sempre usato... è un programma che serve per registrare video)

a-squared Free - Versione 4.5
Ultimo aggiornamento: 09/08/2009 12.37.05

Impostazioni scansione:

Scan type: smart
Oggetti: Memoria, Tracce, Cookies, C:\WINDOWS\, C:\Programmi
Archivio scansioni: On
Scientifico: Off
ADS Scan: On

Scansione avviata: 10/08/2009 11.11.20

[1236] C:\FRAPS\FRAPS.EXE rilevati: Backdoor.Rbot!IK
C:\Documents and Settings\Vasqua\Cookies\vasqua@atdmt[2].txt rilevati: Trace.TrackingCookie.atdmt!A2
C:\Documents and Settings\Vasqua\Cookies\vasqua@bs.serving-sys[1].txt rilevati: Trace.TrackingCookie.bs.serving-sys!A2
C:\Documents and Settings\Vasqua\Cookies\vasqua@serving-sys[2].txt rilevati: Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249840025484375 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249840025484377 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249840025890625 rilevati: Trace.TrackingCookie.doubleclick.net!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249842399875000 rilevati: Trace.TrackingCookie.media!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249846078078125 rilevati: Trace.TrackingCookie.adserv!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249846078078126 rilevati: Trace.TrackingCookie.adserv!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249847560750000 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249859743484378 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249859743890626 rilevati: Trace.TrackingCookie.ad.zanox.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249863260171876 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Documents and Settings\Vasqua\Dati applicazioni\Mozilla\Firefox\Profiles\2ozebnrs.default\cookies.sqlite:1249863260171877 rilevati: Trace.TrackingCookie.ad.yieldmanager.com!A2

Scansionati

Files: 106315
Tracce: 662236
Cookies: 4330
Processi: 53

Rilevato

Files: 0
Tracce: 0
Cookies: 17
Processi: 1
Chiavi di registro: 0

Fine scansione: 10/08/2009 12.15.17
Tempo scansione: 1:03:57

Per quanto riguarda hijack,gmer e prevx li avevo messi nel primo post, cmq li rimetto

prevx
http://img132.imageshack.us/img132/2840/immagine32c.jpg (http://img132.imageshack.us/i/immagine32c.jpg/)

hijack

Logfile of HijackThis v1.99.1
Scan saved at 13.32.56, on 10/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programmi\Razer\Habu\razerhid.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Audio Deck\EnMixCPL.exe
C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\FRAPS\FRAPS.EXE
C:\WINDOWS\system\CmSNXeye.exe
C:\Programmi\MagicTune Premium\GammaTray.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Razer\Habu\razertra.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Razer\Habu\razerofa.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MagicTune Premium\MagicTune.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\a-squared Free\a2free.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Habu] C:\Programmi\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programmi\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Global Startup: GammaTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\Prevx\prevx.exe" /service (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programmi\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

gmer
GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net
Rootkit quick scan 2009-08-10 13:33:58
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT sppy.sys ZwEnumerateKey [0xB7EC5CA4]
SSDT sppy.sys ZwEnumerateValueKey [0xB7EC6032]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A4111F8

AttachedDevice \Driver\Tcpip \Device\Ip cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] kmupqajnb <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----


grazie

le scansioni servono complete, hijackthis è obsoleto, non hai aggiornato a sp3, manca il log di prevx e ti chiedo la gentilezza di pubblicare i log sui server remoti per facilitare così la lettura (il tempo necessario a farlo è esattamente lo stesso del copia / incolla)

Ecco come da voi voluto. Manca solo il log di F-Secure che non ho salvato, e cmq ricordo di aver cancellato tutto quello che aveva trovato...
Ho scansionato ora con avira antivir e non ha trovato nulla

http://www.mediafire.com/?sharekey=fc12f5e09f1f46bb7f7ec40ada4772a6e04e75f6e8ebb871

grazie

malwarebytes ha corretto delle chiavi di registro importanti



fai analizzare questi file
C:\FRAPS\FRAPS.EXE rilevati: Backdoor.Rbot!IK
C:\Fraps\fraps.exe rilevati: Backdoor.Rbot!IK
E:\jolly.rar/jolly.exe rilevati: Trojan.Generic!IK
E:\sharkoon.exe rilevati: Trojan.Generic!IK

su http://virscan.org/ e http://www.virustotal.com/ , basterà copiare l'indirizzo che appare nel browser a fine scansione



dr.web ha eseguito queste cancellazioni:
[Scan path] C:\
>>C:\The Hell backup\Programmi\Per manutenzione pc\spywareblastersetup351.exe/data001 infettato da Trojan.Packed.149
C:\WINDOWS\OPTIONS\CABS\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato

[Scan path] D:\
>>D:\Programmi\Per manutenzione pc\spywareblastersetup351.exe/data001 infettato da Trojan.Packed.149



in gmer emerge un rootkit quindi avevi una riga rossa mostrata a video:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] kmupqajnb <-- ROOTKIT !!!
rifai la scansione con gmer e su quell'oggetto evidenziato in rosso premi il tasto destro del mouse e seleziona "delete service", quindi poi premi il pulsante in alto ">>>" e poi entra nella scheda "autostart" e "services".

La voce SERVICES elenca tutti i servizi che partono all’avvio di Windows. Come sopra, puoi controllare manualmente che non ci siano voci in rosso, se ne vedessi alcune puoi come al solito cliccarci sopra con il tasto destro ed eliminarle.

La voce AUTOSTART invece dà una panoramica molto dettagliata di tutto ciò che parte all’avvio del sistema – servizi di Windows esclusi ovviamente. Stesso discorso vale qui, puoi controllare a mano la presenza di eventuali voci rosse cliccando sul pulsante SCAN ma in questo caso il menù del tasto destro è disabilitato quindi avrai bisogno del nostro aiuto.




Il log di hijackthis è vuoto..


prevx individua questo malware:
[B] c:\windows\system32\midwrap3402.deu [PX5: B48A1FD13F06313C77390059DCCA1100183A4524] Malware Group: Medium Risk Malware


Arrivato a questo punto pubblica le scansioni che ti ho chiesto a inizio messaggio e nel mentre che attendi risposte fai in questo ordine un nuovo log di malwarebytes (aggiornalo ancora prima di scansionare), hijackthis, gmer e prevx

Allora, quel Jolly.exe (sharkoon.exe è lo stesso identico file estratto dal .rar e rinominato) è un autoclicker, mentre fraps.exe è un programma per registrare video su screen.
Comunque li ho analizzati entrambi su entrambi i siti.

Virus Total
C:\Fraps\fraps.exe rilevati: Backdoor.Rbot!IK ---> http://www.virustotal.com/it/analisis/6ed92f2f5b73bb6552456adae00d315c324128e6c0160b85a1f8762fc3acdcc1-1250013292
E:\jolly.rar/jolly.exe rilevati: Trojan.Generic!IK ---> http://www.virustotal.com/it/analisis/4ea1e9e2f5e72b2dfac81eed51dcb156ac1545b72362bbfa615329a8c139abe7-1250013058
E:\sharkoon.exe rilevati: Trojan.Generic!IK ---> http://www.virustotal.com/it/analisis/2ecb1f6b5108147f570a1b8d202c5a4c1bb7338956d223f0b5c56362b137d018-1250012827

Vir Scan
C:\Fraps\fraps.exe rilevati: Backdoor.Rbot!IK ---> http://virscan.org/report/3218a2eff84589295371232002a92fc6.html
E:\jolly.rar/jolly.exe rilevati: Trojan.Generic!IK ---> http://virscan.org/report/c7327d2b8fb366086f27822f28478c2e.html
E:\sharkoon.exe rilevati: Trojan.Generic!IK ---> http://virscan.org/report/43f0d0ceb4c4b7debad00c110838b643.html

scansioni in arrivo

Malwarebytes
Malwarebytes' Anti-Malware 1.40
Versione del database: 2605
Windows 5.1.2600 Service Pack 2

11/08/2009 21.08.46
mbam-log-2009-08-11 (21-08-46).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 195157
Tempo trascorso: 51 minute(s), 59 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

e le altre uploadate

http://www.mediafire.com/?sharekey=fc12f5e09f1f46bb7f7ec40ada4772a69e2bfa07685499a5b8eada0a1ae8665a

Grazie

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Vasqua\Desktop\frontpage.swf


vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)

Ora sono fuori casa quindi non posso apportare le modifiche. Comunque leggendo le voci che mi hai detto di fixare, riguardo le prime due
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
ho paura di fare casini perchè visto che ho una configurazione raid 0 con i miei due hard disks, mi sembrano voci che abbiano a che fare con questa configurazione.

Posso procedere tranquillamente?

Grazie

beh se vogliamo toglierci i dubbi fai analizzare quei due file su virscan.org e virustotal.com, a fine scansione basta che copi l'url mostrata nel browser e la incolli qui, in questo modo abbiamo sicuramente dati incontrovertibili che possono anche darmi torto e darli come assolutamente leciti :)

Non copio gli urls perchè nessun antivirus ha rilevato virus in entrambi i files. Quindi direi di lasciarli li.
Ma giusto per curiosità, se li cancellassi, che succederebbe? Quelle sono chiavi di registro che lanciano gli exe all'accensione, quindi presuppongo che non si lancerebbero quei programmi. Ma sopprattutto in tal caso non capisco come funzionerebbe il pc visto che quei due files servono alla configurazione raid.

Tornando in topic dunque, fixo le altre voci e può bastare?

Grazie

Up :rolleyes:

beh se vogliamo toglierci i dubbi fai analizzare quei due file su virscan.org e virustotal.com, a fine scansione basta che copi l'url mostrata nel browser e la incolli qui, in questo modo abbiamo sicuramente dati incontrovertibili che possono anche darmi torto e darli come assolutamente leciti :)

:rolleyes: :rolleyes:

Non copio gli urls perchè nessun antivirus ha rilevato virus in entrambi i files. Quindi direi di lasciarli li.
Ma giusto per curiosità, se li cancellassi, che succederebbe? Quelle sono chiavi di registro che lanciano gli exe all'accensione, quindi presuppongo che non si lancerebbero quei programmi. Ma sopprattutto in tal caso non capisco come funzionerebbe il pc visto che quei due files servono alla configurazione raid.

Tornando in topic dunque, fixo le altre voci e può bastare?

Grazie

Rinnovo quanto scritto...
I due files li avevo giá scansionati e nessuno dei due siti ha individuato nulla...

non è il mio modo di lavorare quello di sparare alla cieca qua e là sperando di fare centro, non essendo un gioco di battaglia navale questo, se ti è così di grosso fastidio pubblicare i due url io non me la sentirò di proseguire.
il pc è il tuo e tu hai diritto di decidere cosa sia più giusto ma io allo stesso tempo se non mi sento nella situazione di non arrecare danni preferisco non mettere mani :)

Eccomi. Ero partito e son tornato adesso. E ritrovo il pc come lo avevo lasciato :mbe:

Comunque pubblico gli urls, e non era mia intenzione procedere alla cieca, figuriamoci ^^ Aspetto notizie

C:\WINDOWS\JM\JMInsIDE.exe

http://virscan.org/report/868b136abc05f6813bd63b9550ee9a5d.html

http://www.virustotal.com/it/analisis/a65bf90c1b6d4c6222745888cce917a73cb39477bb392e6ca31ddf5833c15d52-1250624487


C:\WINDOWS\system32\JMRaidSetup.exe

http://virscan.org/report/e2e9afb8084310e8b7d2a42b45164fca.html

http://www.virustotal.com/it/analisis/f78863a16ec01911700deec4fe842edd133578fbfd1df8521200df2e52ffeb51-1251196460

grazie

Eccomi. Ero partito e son tornato adesso. E ritrovo il pc come lo avevo lasciato :mbe:

Comunque pubblico gli urls, e non era mia intenzione procedere alla cieca, figuriamoci ^^ Aspetto notizie

C:\WINDOWS\JM\JMInsIDE.exe

http://virscan.org/report/868b136abc05f6813bd63b9550ee9a5d.html

http://www.virustotal.com/it/analisis/a65bf90c1b6d4c6222745888cce917a73cb39477bb392e6ca31ddf5833c15d52-1250624487


C:\WINDOWS\system32\JMRaidSetup.exe

http://virscan.org/report/e2e9afb8084310e8b7d2a42b45164fca.html

http://www.virustotal.com/it/analisis/f78863a16ec01911700deec4fe842edd133578fbfd1df8521200df2e52ffeb51-1251196460

grazie

i due files sono puliti..

mi scuso del doppio post non è stato volontario ;)

Comunque ora che ho la certezza che sono puliti, come procedo per le altre cose? Il computer è rimasto fermo dagli ultimi logs....

Grazie

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Vasqua\Desktop\frontpage.swf


vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)

fatto tutto questo? ovviamente non considerando quelle due voci che abbiamo verificato essere innoque.

Ok fixato quelle voci.Inoltre ho installato foxit reader come da te consigliato. Adesso posso quindi cancellare Adobe reader 9? (per caso anche adobe flashplayer e adobe shockwave player?)

Volevo allegare un nuovo log di hijackthis ma non me lo fa più lanciare, dandomi questo errore...
http://img188.imageshack.us/img188/6223/immagineasd.jpg (http://img188.imageshack.us/i/immagineasd.jpg/)
Non penso l'errore sia conseguente a fix, penso invece dipende da alcune applicazioni che ho cancellato da installazione applicazioni (causa inutilizzo) e tra queste ce n'era una che chiedeva la conferma per cancellare alcune dll (che il programma non utilizzava) nella cartella system32.

Uff