Ancora problemi di intrusione

plateo · 09-06-2006, 14:48

Dopo aver seguito passo per passo la guida di Eraser, mi trovo ancora al punto di partenza.
Ovvero il mio kaspersky appena effettuo la connessione rileva subito un'intrusione "intrusion.win.dcom.exploit".
E ora succede pure che ogni volta che apro una pagina nuova del browser, mi compare puntualmente un'altra pagina dove non viene visualizzato nulla.

C'è un modo per bloccare un determinato numero ip con outpost?
e se riformattassi il tutto? rischierei una nuova intrusione da parte dello stesso ip?

Bugs Bunny · 09-06-2006, 15:18

ti scarica un exploit.che pagina apri quando lo rileva?

plateo · 09-06-2006, 23:33

Quote:

Originariamente inviato da Bugs Bunny

ti scarica un exploit.che pagina apri quando lo rileva?

questa..
htt*://cc0000&color_border=ffffff&u_h=1024&u_w=1280&u_ah=994&u_aw=1280&u_cd=32&u_tz=120&u_java=true/

Bugs Bunny · 10-06-2006, 12:53

non apro la pagina perchè potrebbe essere pericolosa comunque perchè non eviti di entrarci?
fai delle scansioni con ewido e antivirus online

plateo · 10-06-2006, 20:01

Quote:

Originariamente inviato da Bugs Bunny

non apro la pagina perchè potrebbe essere pericolosa comunque perchè non eviti di entrarci?
fai delle scansioni con ewido e antivirus online

Ma io infatti nn ci entro, si apre sola ogni volta che apro una pagine web.
per le scansioni... già ho fatto tutto.. seguendo passo per passo la guida di Eraser.
Il fatto è che nonostante abbia fatto tutto il possibile, ancora il problema persiste...

pistolino · 10-06-2006, 20:32

Io modificherei quel link...

eraser · 10-06-2006, 20:37

il link non é nocivo....in effetti non é proprio un link valido

Bounty_ · 10-06-2006, 22:54

E banalmente svuotare i Temporary internet Files e cancellare i cookies?
Per i primi vai in Internet explorer
- Strumenti
- Opzioni Internet
- Generale
- Eliminia File
Metti la spunta su "Elimina tutto il contenuto non in linea"
- Elimina cookies
Reimposta la pagina iniziale.

Se non funziona avanzo l'ipotesi che ti abbiano modificato il file hosts.

Ciao

Bugs Bunny · 11-06-2006, 09:13

Quote:

Originariamente inviato da eraser

il link non é nocivo....in effetti non é proprio un link valido

era cliccabile ieri...

comunque con che programmi hai scansionato?

[BadPenguin] · 11-06-2006, 11:55

Iniziamo con il dire che DCOM sta per Distributed Component Object Model cioè interfacce create dallo zio bill che si basano sui modelli COM, cioè tra richieste e risposte client ---> server
E' molto probabile che tu sia stato infettato da un virus, tipo Blaster che fa uso di questa "tecnologia" (si fa per dire), ma anche tanti altri tipi di virus.
Altrà probabilita è che qualcuno ti stia attaccando con uno di questi exploit: http://milw0rm.com/search.php ma il tuo av lo blocca, anche se mi sembra strano dato che se dici che ogni volta che apri il browser web (ff o ie?) ti si apra quella pagina, segno che molto probabilmente le chiavi di registro sono state modificate.

Quel link da quanto si vede, sembra che nell'url sia contenuto uno script che crea un bordo troppo grosso per la finestra o qualcosa del genere. La sua efficacia dipende da che tipo di browser stai usando.
Innanzitutto ti consiglio di eseguire i seguenti passi:

- Avvio pc in mod. provvisoria
- Scansione in mod. provvisoria con Hijackthis (poi riporta qua il log), con un Av, e una scansione anche dal web (se il servizio per la connessione alla rete non è attivato, attivo dalla scheda servizi che trovi nel pannello di controllo).
Poi magari anche spybot e simili
- Poi fai questi due procedimenti in mod. normale e vedi se ci sono differenze

Se trovi qualcosa di sospetto, prendi carta e penna oppure notepad e chiave usb e dopo lo riporti sul forum =)
Importante è il log di hijackthis, il quale programma lo trovi a http://www.merijn.org/files/hijackthis.zip
Prova a fare questo e poi dicci...ma che browser usi per curioità?

Bye
[BadPenguin]

Bugs Bunny · 11-06-2006, 21:51

se facesse la scansione con hijackthis vedremmo i processi dell'ospite attivi...

plateo · 12-06-2006, 13:36

Allora ragazzi, di seguito vi riporto i passi delle operazioni da me effettuate e il logfile di HijackThis.
1) Riavviato in modalità provvissoria e cancellato i file temporaneri, cookie, cronologia, file .tmp e .temp.
Sia manualmente che con CCleaner.
2) Effettuata scansione con Ewido e Spybot S&D. Ed in fine online con Trend Micro.
3) Scansionato il pc con HijackThis, e verificate con l'aiuto online le voci sospette e di seguito cancellate.

Queste sono delle operazioni che ho fatto prima di aprire questo threed. Con queste operazione "sembra" cha abbia risolto il problema della popup, ma non quello dell'intrusione iniziale rilevata dal Kaspersky e quello dell'exploit.
Oggi ho rifatto la scansione con HijackThis, riporto di seguito i dati rilevati:

Logfile of HijackThis v1.99.1
Scan saved at 13.29.50, on 12/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\DAP\DAP.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Extensis\Suitcase 9.2\Suitcase.exe
C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Plateo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator 10\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MailWasherPro.lnk = C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Register Suitcase 9.2.lnk = C:\Programmi\Extensis\Suitcase 9.2\Register Suitcase 9.2.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{01D91125-4CF1-4741-8D32-F61F4D9EED16}: NameServer = 85.37.17.51 85.38.28.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{01D91125-4CF1-4741-8D32-F61F4D9EED16}: NameServer = 85.37.17.51 85.38.28.76
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe

Grazie per il vostro aiuto
ciao

09-06-2006, 14:48	#1
plateo Member Iscritto dal: Feb 2004 Messaggi: 225	Ancora problemi di intrusione Dopo aver seguito passo per passo la guida di Eraser, mi trovo ancora al punto di partenza. Ovvero il mio kaspersky appena effettuo la connessione rileva subito un'intrusione "intrusion.win.dcom.exploit". E ora succede pure che ogni volta che apro una pagina nuova del browser, mi compare puntualmente un'altra pagina dove non viene visualizzato nulla. C'è un modo per bloccare un determinato numero ip con outpost? e se riformattassi il tutto? rischierei una nuova intrusione da parte dello stesso ip?

09-06-2006, 15:18	#2
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	ti scarica un exploit.che pagina apri quando lo rileva? __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

10-06-2006, 12:53	#4
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	non apro la pagina perchè potrebbe essere pericolosa comunque perchè non eviti di entrarci? fai delle scansioni con ewido e antivirus online __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

10-06-2006, 20:37	#7
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	il link non é nocivo....in effetti non é proprio un link valido __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

11-06-2006, 11:55	#10
[BadPenguin] Junior Member Iscritto dal: Jun 2006 Città: Kiki@HaCkBoX:~$_ Messaggi: 13	Iniziamo con il dire che DCOM sta per Distributed Component Object Model cioè interfacce create dallo zio bill che si basano sui modelli COM, cioè tra richieste e risposte client ---> server E' molto probabile che tu sia stato infettato da un virus, tipo Blaster che fa uso di questa "tecnologia" (si fa per dire), ma anche tanti altri tipi di virus. Altrà probabilita è che qualcuno ti stia attaccando con uno di questi exploit: http://milw0rm.com/search.php ma il tuo av lo blocca, anche se mi sembra strano dato che se dici che ogni volta che apri il browser web (ff o ie?) ti si apra quella pagina, segno che molto probabilmente le chiavi di registro sono state modificate. Quel link da quanto si vede, sembra che nell'url sia contenuto uno script che crea un bordo troppo grosso per la finestra o qualcosa del genere. La sua efficacia dipende da che tipo di browser stai usando. Innanzitutto ti consiglio di eseguire i seguenti passi: - Avvio pc in mod. provvisoria - Scansione in mod. provvisoria con Hijackthis (poi riporta qua il log), con un Av, e una scansione anche dal web (se il servizio per la connessione alla rete non è attivato, attivo dalla scheda servizi che trovi nel pannello di controllo). Poi magari anche spybot e simili - Poi fai questi due procedimenti in mod. normale e vedi se ci sono differenze Se trovi qualcosa di sospetto, prendi carta e penna oppure notepad e chiave usb e dopo lo riporti sul forum =) Importante è il log di hijackthis, il quale programma lo trovi a http://www.merijn.org/files/hijackthis.zip Prova a fare questo e poi dicci...ma che browser usi per curioità? Bye [BadPenguin] __________________ char shellcode[]= "\xeb\x18\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xe3\xff\xff\xff\x2f" "\x62\x69\x6e\x2f\x73\x68";

10-06-2006, 20:32	#6
pistolino Senior Member Iscritto dal: Jan 2005 Messaggi: 7200	Io modificherei quel link...

10-06-2006, 22:54	#8
Bounty_ Senior Member Iscritto dal: Jun 2003 Città: Padova Messaggi: 383	E banalmente svuotare i Temporary internet Files e cancellare i cookies? Per i primi vai in Internet explorer - Strumenti - Opzioni Internet - Generale - Eliminia File Metti la spunta su "Elimina tutto il contenuto non in linea" - Elimina cookies Reimposta la pagina iniziale. Se non funziona avanzo l'ipotesi che ti abbiano modificato il file hosts. Ciao

11-06-2006, 21:51	#11
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	se facesse la scansione con hijackthis vedremmo i processi dell'ospite attivi... __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

12-06-2006, 13:36	#12
plateo Member Iscritto dal: Feb 2004 Messaggi: 225	Allora ragazzi, di seguito vi riporto i passi delle operazioni da me effettuate e il logfile di HijackThis. 1) Riavviato in modalità provvissoria e cancellato i file temporaneri, cookie, cronologia, file .tmp e .temp. Sia manualmente che con CCleaner. 2) Effettuata scansione con Ewido e Spybot S&D. Ed in fine online con Trend Micro. 3) Scansionato il pc con HijackThis, e verificate con l'aiuto online le voci sospette e di seguito cancellate. Queste sono delle operazioni che ho fatto prima di aprire questo threed. Con queste operazione "sembra" cha abbia risolto il problema della popup, ma non quello dell'intrusione iniziale rilevata dal Kaspersky e quello dell'exploit. Oggi ho rifatto la scansione con HijackThis, riporto di seguito i dati rilevati: Logfile of HijackThis v1.99.1 Scan saved at 13.29.50, on 12/06/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\CTHELPER.EXE C:\Programmi\QuickTime\qttask.exe C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programmi\Winamp\winampa.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programmi\DAEMON Tools\daemon.exe C:\Programmi\DAP\DAP.EXE C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Extensis\Suitcase 9.2\Suitcase.exe C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\Programmi\ewido anti-malware\ewidoctrl.exe C:\Programmi\ewido anti-malware\ewidoguard.exe C:\Programmi\iPod\bin\iPodService.exe C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Winamp\winamp.exe C:\Programmi\eMule\emule.exe C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Plateo\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator 10\Applications\LEC IE Translation Extension.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: MailWasherPro.lnk = C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Register Suitcase 9.2.lnk = C:\Programmi\Extensis\Suitcase 9.2\Register Suitcase 9.2.exe O4 - Global Startup: Suitcase Startup.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{01D91125-4CF1-4741-8D32-F61F4D9EED16}: NameServer = 85.37.17.51 85.38.28.76 O17 - HKLM\System\CS1\Services\Tcpip\..\{01D91125-4CF1-4741-8D32-F61F4D9EED16}: NameServer = 85.37.17.51 85.38.28.76 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe Grazie per il vostro aiuto ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email