[Guida alla disinfezione]Virus su chiavetta - Errore all'apertura del disco fisso

[RiccardoS]

Ragazzi un aiuto per favore: ne stò uscendo matto...

ho seguito la guida, ora nel pc non vengono più creati file autorun.inf nelle unità, ma continua a crearmeli in qualsiasi penna usb io inserisca, con questo contenuto: [autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1

all'avvio di windows vedo una finestrella del tipo "applicazione impostazioni personalizzate..." e dentro la scritta recycler e qualcos'altro (è troppo veloce)...

avast ovviamente si limita a trovare il file nelle pennette e rimuoverlo, ma anche una scansione completa con antivir non ha dato risultati, stessa cosa per trend micro online scan.

ho provato anche Flash_Disinfector ma si limita a creare la cartella con lo stesso nome, in realtà non risolve il problema nel pc.

l'analisi di un log di highackthis non ha evidenziato nulla di anomalo, così come una scansione con prevxcsi e avenger.

non so cos'altro provare...

[Gle89]

Devi formattare la chiavetta usb ma PRIMA di inserirle nel tuo pc devi DISATTIVARE l'autoplay altrimenti è inutile.

Se mi dici quale sistema operativo hai( XP home o Professional? oppure Vista?) ti posso aiutare a disattivarlo,cosi puoi inserire le penne e formattarle senza avere più problemi.

Sempre ammesso che ora tu non ri-abbia il pc infetto!

P.S. sostituisci Avast con il miglior ANTIVIR (nella mia firma trovi il download e la guida)

[RiccardoS]

Quote:

Originariamente inviato da Gle89

Devi formattare la chiavetta usb ma PRIMA di inserirle nel tuo pc devi DISATTIVARE l'autoplay altrimenti è inutile.

Se mi dici quale sistema operativo hai( XP home o Professional? oppure Vista?) ti posso aiutare a disattivarlo,cosi puoi inserire le penne e formattarle senza avere più problemi.

Sempre ammesso che ora tu non ri-abbia il pc infetto!

P.S. sostituisci Avast con il miglior ANTIVIR (nella mia firma trovi il download e la guida)

ehm... le varie guide e siti che ne parlano in rete le ho lette praticamente tutte e qualcosa me ne intendo: il SO è win xp home e l'autorun l'ho già disattivato per tutte le unità impostando la chiave di registro [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] a "181"

il problema è che il pc non sembra infetto o almeno, nei drive del pc non si presenta più il problema dell'autorun.inf mentre se inserisco una pennetta, su questa viene subito creato il file, prontamente rilevato e tolto da qualsiasi AV ma subito dopo si ricrea, quindi ci deve ancora essere qualche task attivo nel pc che fa si che questo succeda... ma non capisco quale...

p.s. antivir, come ho scritto sopra, l'ho provato, ma non ha trovato nulla. e in più, rispetto ad avast rompe un tantino le scatole con messaggi pubblicitari...

[RiccardoS]

p.s. in ogni penna usb viene creato, oltre al file autorun.inf col contenuto sopra descritto, una cartella recycler con dentro un file con icona del cestino (appunto, recycler) col nome scritto nel file .inf: S-1-5-21-1482476501-1644491937-682003330-1013: è normale che ci sia anche in una penna usb? viene creata in ogni unità?

[Nuz]

E' spoolsv.exe che ti crea problemi. Si trova nella cartella del cestino e quindi non è stato eliminato definitivamente.
Abilita la visualizzazione dei file di sistema (Pannello di Controllo, Opzioni Cartella) e fallo analizzare su www.virustotal.com e poi riporta qui il link dei risultati.
Non so se puoi risolvere semplicemente svuotando il cestino. Altrimenti puoi provare a rimuoverlo con FileAssassin. Lo avvii, clicca su ... per trovare il file e metti il segno di spunta a Delete File.

[Chill-Out]

Quote:

Originariamente inviato da RiccardoS

p.s. in ogni penna usb viene creato, oltre al file autorun.inf col contenuto sopra descritto, una cartella recycler con dentro un file con icona del cestino (appunto, recycler) col nome scritto nel file .inf: S-1-5-21-1482476501-1644491937-682003330-1013: è normale che ci sia anche in una penna usb? viene creata in ogni unità?

Segui la Guida da come descrivi il problema il Pc sembra infetto ed il worm crea una copia di stesso sulla chiave USB all'inserimento della stessa

[RiccardoS]

Quote:

Originariamente inviato da Nuz

E' spoolsv.exe che ti crea problemi. Si trova nella cartella del cestino e quindi non è stato eliminato definitivamente.
Abilita la visualizzazione dei file di sistema (Pannello di Controllo, Opzioni Cartella) e fallo analizzare su www.virustotal.com e poi riporta qui il link dei risultati.
Non so se puoi risolvere semplicemente svuotando il cestino. Altrimenti puoi provare a rimuoverlo con FileAssassin. Lo avvii, clicca su ... per trovare il file e metti il segno di spunta a Delete File.

nella cartella del cestino non c'è assolutamente nulla. la visualizzazione di cartelle e file nascosti di sistema è abilitata.
quel spoolsv.exe che vedi sembrerebbe dovesse essere nella cartella recycler che crea in ogni penna usb. cmq non c'è nemmeno lì.

per sicurezza ho fatto analizzare dal sito che hai consigliato il file spoolsv.exe in esecuzione, ma risulta essere quello originale di win xp.

Quote:

Originariamente inviato da Chill-Out

Segui la Guida da come descrivi il problema il Pc sembra infetto ed il worm crea una copia di stesso sulla chiave USB all'inserimento della stessa

ho già seguito la guida...
però il pc rimane infetto e infatti continua a replicarsi su ogni penna che inserisco... ma non capisco quale sia il processo col malware...

p.s. ho eseguito anche spybot e spydoctor... entrambi hanno trovato dell'altro e rimosso ma il problema rimane...

[RiccardoS]

p.s. qui il log di hijackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.20.13, on 21/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Lectra\Modaservice\modaserv.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
H:\PhoneConnectorVMC.exe
C:\Programmi\vodafone\vmclite\vmc.exe
C:\Documents and Settings\GROSSI ANGELA\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SDTray] C:\Programmi\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\PrevxCSI\prevxcsi.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Modaservice - Unknown owner - C:\Programmi\Lectra\Modaservice\modaserv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe

--
End of file - 9193 bytes

purtroppo c'è un bordello di roba... ma anche da un'analisi di quel sito che analizza i log online, sembra tutto ok...

pps: trend micro office scan lo rileva come "MAL_OTORUN1"...

[Nuz]

Visto che hai scritto di aver gia eseguito la guida e altre svariate scansioni, il tuo problema secondo me è qui:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Esegui SDFIX, che è sicuramente in grado di individuare il malware in quella posizione, essendo nel suo database.

http://www.downloads.andymanchesta.c...ools/SDFix.exe

Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install, finita l'installazione riavvia il sistema in modalità provvisoria
In modalità provvisoria fai un doppio click sul file RunThis.bat, seleziona Y e premi Invio.
Al riavvio SDFix salva il log e poi postalo qui.

[Chill-Out]

NB: quando fai girare SDFix come consigliato da NUZ ricorda di:

mettere il segno di spunta su Visualizza cartelle e file nascosti
togliere il segno di spunta da Nascondi i file protetti di sistema e Nascondi le estensioni per i tipi di file conusciuti

Applica e OK

[RiccardoS]

Quote:

Originariamente inviato da Nuz

Visto che hai scritto di aver gia eseguito la guida e altre svariate scansioni, il tuo problema secondo me è qui:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Esegui SDFIX, che è sicuramente in grado di individuare il malware in quella posizione, essendo nel suo database.

http://www.downloads.andymanchesta.c...ools/SDFix.exe

Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install, finita l'installazione riavvia il sistema in modalità provvisoria
In modalità provvisoria fai un doppio click sul file RunThis.bat, seleziona Y e premi Invio.
Al riavvio SDFix salva il log e poi postalo qui.

anzitutto grazie a te e a tutti gli altri
sembra che tu avessi ragione era proprio lì il problema... però da SO non riuscivo a vederlo assolutamente.
SDFIX entra di diritto nei tool più utili della mia lista!
ecco il report:

Codice:

SDFix: Version 1.218 
Run by ANGELA on 21/08/2008 at 11.10

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe   - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 11:16:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2191a186-6eb4-11dd-bbba-00163655349e}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafc-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafd-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafe-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{689ade4b-6e22-11dd-bbb8-00163655349e}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bf921052-ffc2-11dc-baf6-00163655349e}]
"BaseClass"="Drive"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"="C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\\Programmi\\Messenger\\msmsgs.exe"="C:\\Programmi\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"="C:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe:*:Disabled:backWeb-7288971"
"C:\\WINDOWS\\AdobeR.exe"="C:\\WINDOWS\\AdobeR.exe:*:Disabled:AdobeR"
"F:\\AdobeR.exe"="F:\\AdobeR.exe:*:Disabled:AdobeR"
"C:\\Programmi\\eMule\\emule.exe"="C:\\Programmi\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programmi\\iTunes\\iTunes.exe"="C:\\Programmi\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"="C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\Bonjour\\mDNSResponder.exe"="C:\\Programmi\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programmi\\Lectra\\ModarisV5R1\\bin\\ModarisV5R1.exe"="C:\\Programmi\\Lectra\\ModarisV5R1\\bin\\ModarisV5R1.exe:*:Enabled:ModarisV5R1"
"C:\\Programmi\\Skype\\Phone\\Skype.exe"="C:\\Programmi\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"="C:\\Programmi\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmi\\MSN Messenger\\livecall.exe"="C:\\Programmi\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programmi\\Internet Explorer\\iexplore.exe"="C:\\Programmi\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"="C:\\Programmi\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmi\\MSN Messenger\\livecall.exe"="C:\\Programmi\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
Wed 19 Apr 2006         1,024 A..HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Wed 19 Apr 2006         1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Wed 19 Apr 2006         1,024 A..HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Wed 19 Apr 2006         1,024 A..HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Wed 19 Apr 2006         1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Tue 26 Sep 2006         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu  8 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df3d775e7b42b8dc342b507906f4e30c\BIT1.tmp"
Wed  7 Nov 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eed0eb90e3e924174e431be388f7b127\BIT6.tmp"

Finished!

ora infatti sembra non fare più nulla alle pennette.

(LOL le faccine )

[Chill-Out]

Bene sarebbe opportuno ripetere la scansione con SDFix con i parametri qui indicati http://www.hwupgrade.it/forum/showpo...&postcount=110

[RiccardoS]

Quote:

Originariamente inviato da Chill-Out

Bene sarebbe opportuno ripetere la scansione con SDFix con i parametri qui indicati http://www.hwupgrade.it/forum/showpo...&postcount=110

avevo già impostato quei parametri.
è per questo che non mi capacito di come mai non riuscissi a vedere quell'eseguibile di m...

[Chill-Out]

Quote:

Originariamente inviato da RiccardoS

avevo già impostato quei parametri.
è per questo che non mi capacito di come mai non riuscissi a vedere quell'eseguibile di m...

L'impostazione dei suddetti parametri non è riferita c:\RECYCLER bensì alla eventuale presenza di C:\autorun.inf per quanto riguarda C:\RECYCLER nello specifico oltre ad essere nascosta è legata all'identificatore di protezione per ogni utente

[xcdegasp]

@ RiccardoS:
a me sembra che non hai letto le Regole di Sezione, ed è il caso che tu lo faccia quanto prima
grazie


@ agli altri:
sapete che non dovete dare assistenza a chi non le rispetta... come le regole valgono per voi così anche per gli altri, nessuna eccezione.
in considerazione del fatto che fare eccezioni porta a caos come verificato a luglio.
grazie della collaborazione

[RiccardoS]

Quote:

Originariamente inviato da xcdegasp

@ RiccardoS:
a me sembra che non hai letto le Regole di Sezione, ed è il caso che tu lo faccia quanto prima
grazie

mhhh... veramente le ho lette, e vedendo questa:

Quote:

Prima di aprire un thread è necessario assicurarsi che non ne esista già uno aperto uguale alla propria problematica usando l'apposita funzione Cerca e selezionando la sezione in cui limitare la ricerca;

ho pensato fosse meglio continuare in questo thread...

se ti riferisci ai log corposi, me ne scuso.

[xcdegasp]

infatti ti ho ripreso per un altro motivo,ossia per i log pubblicati!
più il thread risulterà scorrevole epiù noi saremmo agevolati a darti assistenza, è nel tuo inetresse

[Sturpaie]

Ciao scusate,
come si disattiva l'autoplay?
grazie

[wjmat]

Per disabilitare la funzione di riproduzione automatica su XP
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

[Sturpaie]

Nella guida da seguire nel primo post non si dice di disattivare l'autoplay
per eliminare il virus ufo.exe giusto?