Aiuto schermata blu di windows

[LoveM]

SAlve a tutti, il mio pc da un po di tempo si riavviava da solo all'improvviso, così ho tolto la spunta del riavvio automatico e adesso mi comprare la schermata blu, ho fatto la diagnostica con Who Crashed Home e mi da questo risultato che non capisco:
On Thu 24/12/2009 1.08.35 your computer crashed
This was likely caused by the following module: klif.sys
Bugcheck code: 0x1000008E (0xC0000005, 0x804EC817, 0xA84B5650, 0x0)
Error: KERNEL_MODE_EXCEPTION_NOT_HANDLED_M
Dump file: D:\WINDOWS\Minidump\Mini122409-01.dmp
file path: D:\WINDOWS\system32\drivers\klif.sys
product: Kaspersky Anti-Virus
company: Kaspersky Lab
description: Klif Mini-Filter


Ho installato windows xp service pack 3..se vi serovno altre informazioni chiedete...

[nengistelle]

Il problema te lo da il file klif.sys,che è un file di kaspersky.Quindi prova a disistallarlo.

[LoveM]

Si la cosa che non capisco è che io non ho installato kapersky...ma avira

[tallines]

Quote:

Originariamente inviato da LoveM

Si la cosa che non capisco è che io non ho installato kapersky...ma avira

Anche se non hai installato karpesky, sarà un residuo: prima avevi
installato karpesky?
Creati un punto di ripristino.
Cancella andando nel registro di sistema il file incriminato
D:\WINDOWS\system32\drivers\klif.sys.
Riavvia il sistema e vedi come si comporta.
Al limite lanci hijachthis, se ti compare la voce karpesky la fixi.
poi controlla sempre nel registro che non ci siano più voci che rimandano a karpesky, altrimenti le puoi cancellare tranquillamente.
Mi sembra che ci sia anche un remove tool ossia una utility che una volta disinstallato il software, vada a cercere i residui che sono rimasti nel pc, e te li cancella. Come per Avast.
Ciao

[LoveM]

Ho fatto una diagnostica con wise disc cleaner e da allora non mi da più problemi...

[tallines]

Quote:

Originariamente inviato da LoveM

Ho fatto una diagnostica con wise disc cleaner e da allora non mi da più problemi...

Cosa vuol dire non mi da + problemi, che non ti appare più il messaggio di crash?

[LoveM]

Si scusa se non era chiaro, cmq si non mi sono pià comparsi crash ma appena lo lascio acceso e mi allontano quando torno lo schermo è nero ed è come bloccato...però non sono sicura che si è risolto il crash, ma non ne ho più avuti in questi giorni

[tallines]

Quote:

Originariamente inviato da LoveM

Si scusa se non era chiaro, cmq si non mi sono pià comparsi crash ma appena lo lascio acceso e mi allontano quando torno lo schermo è nero ed è come bloccato...però non sono sicura che si è risolto il crash, ma non ne ho più avuti in questi giorni

Sono dei palliativi.
Il problema è questo: D:\WINDOWS\system32\drivers\klif.sys.
Finchè non lo cancelli....poi vedi tu.
A proposito: avevi karpesky e l'hai disinstallato?
Penso di si altrimenti come fa a uscirti una stringa del genere.
A me per esempio non mi esce perchè non l'ho mai installato. Quindi è impossibile che si crei da solo.
Poi vedi tu :-) Ciao LoveM

[LoveM]

Ho provato a cancellarlo ma me lo impedisce mi dice accesso negato...
kapersky lo avevo installato mesi fa per curiosità ma l'ho subito disinstallato...mi9 ha cominciato a fare cosi il pc dopo che ho fatto un controllo errori..

[tallines]

Quote:

Originariamente inviato da LoveM

Ho provato a cancellarlo ma me lo impedisce mi dice accesso negato...
kapersky lo avevo installato mesi fa per curiosità ma l'ho subito disinstallato...mi9 ha cominciato a fare cosi il pc dopo che ho fatto un controllo errori..

Ti dice accesso negato perchè in teoria dovresti disinstallarlo con karpesky stesso o con un suo tool.
Comunque puoi risolvere cosi.
Vai in modalità provvisoria e tramite esegui entri nel registro digitando regedit + invio.
1 - Cerca la chiave da cancellare
2 - clicca con il tasto dx sopra la chiave e dal menù scegli Autorizzazioni
3 - nella finestrella che si apre metti il segno di spunta su Controllo completo e conferma il tutto cliccando su Applica e poi gli dai OK.
4 - vai sopra la stringa, tasto dx, elimina.

Ovviamente devi accedere da amministratore

[LoveM]

Ho cercato di farlo il problema è dopo che digito regedit da esegui dove vado a trovare la chiave giusta?

[tallines]

Quote:

Originariamente inviato da LoveM

Ho cercato di farlo il problema è dopo che digito regedit da esegui dove vado a trovare la chiave giusta?

E qui come hai fatto, non sei andata nel registro?

Quote:

Originariamente inviato da LoveM

Ho provato a cancellarlo ma me lo impedisce mi dice accesso negato...

Una voltra entrata nel registro vai in Modifica - Trova, ti si apre una finestra rettangolare di ricerca, vedrai che il cursore del mouse lampeggia in uno spazio rettangolare.
Se la chiave incriminata è D:\WINDOWS\system32\drivers\klif.sys,
dove lampeggia il cursore digiti klif.sys o solo klif, cosicchè invece di una ricerca generalizzata diventa più specifica e dovresti trovarla subito.
Anche se ti viene fuori la stringa, digli sempre Trova successivo per vedere quante chiavi ti trova, finchè non ti dice che "E' stata portata a termina la ricerca nel registro di sistema".
Ovviamente quando ti trova una voce dove c'è scritto klif.sys, verifica che sia quella giusta ossia che il percorso sia D:\WINDOWS\system32\drivers\klif.sys.

Prima di fare come ti ho detto nel penultimo post, prova una volta trovata la stringa a cancellarla senza mettere le autorizzazioni, sempre da modalità provvisoria.
Può essere che te la cancelli senza dover fare l'iter che ti ho detto.

[LoveM]

Si ero nel registro ma con tutte le cartelle non sapevo dove cercare
Adesso l'ho fatto ma i file che ho trovato facevano parte di questi percorsi:
HKEY_LOCAL_MACHINE/SYSTEM/CONTROLSET/ENUM/Root/LEGACY.klif/0000
e gli altri lo stesso percorso con la differenza di controlset001 e 002

[tallines]

Quote:

Originariamente inviato da LoveM

............ ho fatto la diagnostica con Who Crashed Home e mi da questo risultato che non capisco:
On Thu 24/12/2009 1.08.35 your computer crashed
This was likely caused by the following module: klif.sys

Quote:

Originariamente inviato da LoveM

HKEY_LOCAL_MACHINE/SYSTEM/CONTROLSET/ENUM/Root/LEGACY.klif/0000....controlset001 e 002

Fai una scansione con l'antivirus attuale che hai, vedi se ti rileva klif.sys.

Facendo una ricerca su klif.sys sembra riconducibile a kaspersky al 100% e sembra che abbia dato problemi non solo a te ; in più da altri antivirus tipo Avast viene rilevato come un falso positivo, ossia come virus o worm.

Al riguardo è interessante questo articolo:

http://www.trackback.it/articolo/kas...ttenzione/873/


In più ho trovato l' utility che potrebbe fare al caso tuo:

Run this utility to remove all traces of Kaspersky from the registry:
http://www.ice-kav.com/downloads/uti...stry_Clean.zip
ICE is a US distributor for Kaspersky.

L' ho trovato qui:

http://forum.avast.com/index.php?topic=38111.0


Interessante è anche quello che dicono qui:

http://forum.kaspersky.com/lofiversi...p/t146486.html


All'interno del forum come vedi parlano di un disinstallatore dell'antivirus, ma non di un ripulitore di file residui, come quello trovato nel forum di Avast.

Leggilo perchè anche da questo puoi capire il perchè ti sono rimaste tracce di kaspersky:


http://forum.kaspersky.com/index.php?showtopic=46926


Se vuoi lanciare il pulitore di residui (KAV_Registry_Clean.zip) poi fai sempre una ricerca nel Registro mettendo nel "Trova" del Registro, sempre in modalità provvisoria la parola karpesky e poi klif o anche klif.sis.
Tutto quello che trovi lo cancelli, visto che riguarda kaspersky, kaspersky non ce l'hai più, che te ne fai di queste stringhe o voci residue?
Mi è capitata una cosa analoga (ma a me non ha mai crashato il pc) quando ho tolto Avast e messo Avira.
Andando nel registro ho cancellato manualmente tutte le voci associate a Avast, dopo aver usato l'utility di Avast per ripulire il pc.

Al limite anche se non lanci il pulitore puoi cancellare tutte le voci associate a kaspersky e a klif.sis

[LoveM]

Avevo già provato queste procedure ma nulla: non mi trova nulla, mi è venuto il dubbio he da quando ho disabilitato il file kl1 diciamo che si è risolto il problema del crash perchè non mi è più successo...però non ho avuto modo di vedere se la schermata nera con il pc bloccato compare sempre..

[tallines]

Quote:

Originariamente inviato da LoveM

....ho disabilitato il file kl1 diciamo che si è risolto il problema del crash perchè non mi è più successo...

Intendi il file klif.sys? E come l'avresti disabilitato?

Al limite come ti ho detto prima basta che cercando trovi le voci che fanno riferimento al problema e le cancelli. Se non ci riesci nella modalità normale, fai con la provvisoria come ti ho suddetto, vedrai che le cancelli anche se non si vogliono cancellare

[LoveM]

Ma non sono due file di kapersky differenti? Io ho disabilitato kl1 perchè klif non mi risultava come non mi risulta da nessuna parte ma mi risulta kl1
Il file l'ho disattivato in questo modo:
Accedi alla Gestione Periferiche e dal menu Visualizza seleziona Mostra Periferiche Nascoste.
Ora espandi l'albero Driver non Pug And Play e controlla che non vi siano riferimenti al file.
Qualora vi fossero aprine le proprietà con un doppio click e vai nella sezione Driver
Troverai eventualmente un pulsante "Arresta": se cliccabile provvedi a cliccarvi su.
In Avvio > Tipo seleziona "Disattivato"
Chiudi la finestra delle proprietà del Driver, seleziona il driver in questione, clicca con il tasto destro e seleziona Disinstalla.
A questo punto il file dovrebbe poter essere eliminato (eventualmente dopo la richiesta di riavvio)

Cercandoli con regedit non li trovo apparte quelli che ti ho detto...

[tallines]

Quote:

Originariamente inviato da LoveM

Ma non sono due file di kapersky differenti? Io ho disabilitato kl1 perchè klif non mi risultava come non mi risulta da nessuna parte ma mi risulta kl1
Il file l'ho disattivato in questo modo:
Accedi alla Gestione Periferiche e dal menu Visualizza seleziona Mostra Periferiche Nascoste.
Ora espandi l'albero Driver non Pug And Play e controlla che non vi siano riferimenti al file.
Qualora vi fossero aprine le proprietà con un doppio click e vai nella sezione Driver
Troverai eventualmente un pulsante "Arresta": se cliccabile provvedi a cliccarvi su.
In Avvio > Tipo seleziona "Disattivato"
Chiudi la finestra delle proprietà del Driver, seleziona il driver in questione, clicca con il tasto destro e seleziona Disinstalla.
A questo punto il file dovrebbe poter essere eliminato (eventualmente dopo la richiesta di riavvio)

Cercandoli con regedit non li trovo apparte quelli che ti ho detto...

Quindi dovresti averlo eliminato. Bene
Per una maggiore sicurezza come ho detto vai in cerca delle voci associate a kasperky nel registro e le elimini .
Se non riesci in modalità normale, vai in provvisoria.
Dovresti combinare e cosi risolvere .
Anche se, se fossi in te lancerei l'antivirus e gli antispyware che hai per vedere cosa dicono.
In più potresti lanciare Hijackthis e se nelle voci che ti compaiono ti appare lif.sys o kl1 (a parte che se è stato eliminato non ti appare, ecco perche può essere che con regedit non lo trovi) lo cancelli spuntando la casella fix.
Meglio ancora io lancerei Combofix da modalità provvisoria o meglio ancora farei un giro in Antivirus e Sicurezza dove sono molto bravi e competenti, perchè forse si e forse no hai qualche virus o worm, anche se magari per il momento ti sembra tutto a posto.
Ciao LoveM

[LoveM]

Avevo fatto tempo fa un controllo con Hijackthis e il risultato è stato questo non ho trovato nessuno dei due file:
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 3.32.01, on 27/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir Desktop\sched.exe
D:\Programmi\Avira\AntiVir Desktop\avguard.exe
D:\Programmi\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\PAStiSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Avira\AntiVir Desktop\avmailc.exe
D:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programmi\Avira\AntiVir Desktop\avgnt.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programmi\Java\jre6\bin\jusched.exe
D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
D:\Programmi\DAEMON Tools Lite\daemon.exe
D:\Programmi\Windows Live\Messenger\msnmsgr.exe
D:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

Adesso provo combofix e vediamo cosa mi dice, i miei antivirus non hanno rilevato tempo fa ma è sempre meglio riprovare..grazie di tutto

[LoveM]

ComboFix 09-12-28.06 - Administrator 29/12/2009 17.14.36.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.665 [GMT 1:00]
Eseguito da: d:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated) {00000000-F0B8-0012-00E9-917C0802927C}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-11-28 al 2009-12-29 )))))))))))))))))))))))))))))))))))
.

2009-12-27 02:28 . 2009-12-27 02:28 -------- d-----w- d:\programmi\Trend Micro
2009-12-24 12:33 . 2009-12-24 13:13 -------- d-----w- d:\programmi\Registry Clean Expert
2009-12-14 20:37 . 2009-12-14 20:37 -------- d-sh--w- d:\windows\ftpcache
2009-12-14 20:29 . 2009-12-14 20:29 -------- d-----w- d:\programmi\Microsoft Works
2009-12-14 20:27 . 2009-12-14 20:27 -------- d-----w- d:\programmi\Microsoft.NET
2009-12-14 20:24 . 2009-12-14 20:24 -------- d-----w- d:\programmi\Microsoft Visual Studio 8
2009-12-14 20:23 . 2009-12-14 20:27 -------- d-----w- d:\windows\SHELLNEW
2009-12-14 20:21 . 2009-12-14 20:21 -------- d-----r- D:\MSOCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 16:06 . 2009-11-04 13:04 843776 ----a-w- d:\documents and settings\All Users\Dati applicazioni\Grid Blue Memo Site\Poll anti.exe
2009-12-28 22:52 . 2009-11-06 17:45 -------- d-----w- d:\documents and settings\Administrator\Dati applicazioni\vlc
2009-12-28 17:11 . 2009-12-28 17:17 2979840 ----a-w- d:\windows\Internet Logs\xDB21.tmp
2009-12-27 21:01 . 2009-10-30 16:11 688880 --sha-w- d:\windows\system32\drivers\fidbox.idx
2009-12-27 21:01 . 2009-10-30 16:11 58603552 --sha-w- d:\windows\system32\drivers\fidbox.dat
2009-12-26 17:07 . 2009-12-26 23:15 2903040 ----a-w- d:\windows\Internet Logs\xDB1F.tmp
2009-12-26 17:07 . 2009-12-26 23:15 1439744 ----a-w- d:\windows\Internet Logs\xDB20.tmp
2009-12-26 02:08 . 2009-08-04 19:26 -------- d-----w- d:\programmi\Total Video Converter
2009-12-24 10:33 . 2009-12-24 11:42 1430528 ----a-w- d:\windows\Internet Logs\xDB1E.tmp
2009-12-24 10:33 . 2009-12-24 11:42 344064 ----a-w- d:\windows\Internet Logs\xDB1D.tmp
2009-12-24 01:07 . 2009-12-24 01:08 3506688 ----a-w- d:\windows\Internet Logs\xDB1B.tmp
2009-12-24 01:07 . 2009-12-24 01:08 1429504 ----a-w- d:\windows\Internet Logs\xDB1C.tmp
2009-12-21 19:37 . 2009-12-21 19:40 1425920 ----a-w- d:\windows\Internet Logs\xDB1A.tmp
2009-12-21 18:44 . 2009-12-21 18:47 1425408 ----a-w- d:\windows\Internet Logs\xDB19.tmp
2009-12-20 00:45 . 2009-12-20 00:48 1423360 ----a-w- d:\windows\Internet Logs\xDB18.tmp
2009-12-19 23:06 . 2009-07-29 13:39 -------- d--h--w- d:\programmi\InstallShield Installation Information
2009-12-19 18:01 . 2009-12-19 19:16 1422848 ----a-w- d:\windows\Internet Logs\xDB17.tmp
2009-12-19 18:01 . 2009-12-19 19:16 2928128 ----a-w- d:\windows\Internet Logs\xDB16.tmp
2009-12-15 20:17 . 2009-12-15 20:18 1414144 ----a-w- d:\windows\Internet Logs\xDB15.tmp
2009-12-15 20:17 . 2009-12-15 20:18 2818560 ----a-w- d:\windows\Internet Logs\xDB14.tmp
2009-12-14 21:45 . 2009-07-29 14:52 68840 ----a-w- d:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-12-14 21:43 . 2009-12-14 21:44 1413120 ----a-w- d:\windows\Internet Logs\xDB13.tmp
2009-12-14 21:43 . 2009-12-14 21:44 3300352 ----a-w- d:\windows\Internet Logs\xDB12.tmp
2009-12-14 20:35 . 2009-07-29 15:26 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-12-14 20:28 . 2009-07-29 13:34 -------- d-----w- d:\programmi\MSBuild
2009-12-12 19:36 . 2009-12-12 22:01 1409024 ----a-w- d:\windows\Internet Logs\xDB11.tmp
2009-12-10 13:38 . 2009-08-31 19:45 56816 ----a-w- d:\windows\system32\drivers\avgntflt.sys
2009-12-08 00:05 . 2009-12-08 01:09 3829760 ----a-w- d:\windows\Internet Logs\xDB10.tmp
2009-12-04 22:12 . 2009-12-04 22:14 1398272 ----a-w- d:\windows\Internet Logs\xDBF.tmp
2009-12-02 22:21 . 2009-12-02 22:22 1396224 ----a-w- d:\windows\Internet Logs\xDBE.tmp
2009-11-29 12:40 . 2009-11-29 12:41 2951168 ----a-w- d:\windows\Internet Logs\xDBC.tmp
2009-11-29 12:40 . 2009-11-29 12:41 1389056 ----a-w- d:\windows\Internet Logs\xDBD.tmp
2009-11-27 13:03 . 2009-11-04 12:57 -------- d-----w- d:\programmi\Circl Developement
2009-11-24 21:04 . 2009-11-24 21:04 142 ----a-w- d:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\fusioncache.dat
2009-11-24 16:47 . 2009-11-24 16:47 -------- d-----w- d:\programmi\QuickTime
2009-11-24 16:47 . 2009-11-24 16:47 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Apple Computer
2009-11-21 13:06 . 2009-11-21 13:07 1375744 ----a-w- d:\windows\Internet Logs\xDBB.tmp
2009-11-21 13:06 . 2009-11-21 13:07 2854912 ----a-w- d:\windows\Internet Logs\xDBA.tmp
2009-11-20 11:23 . 2009-11-20 11:23 120747 ----a-w- d:\windows\Internet Logs\vsmon_2nd_2009_11_19_19_30_26_small.dmp.zip
2009-11-19 18:30 . 2009-11-19 18:30 1374720 ----a-w- d:\windows\Internet Logs\xDB11F.tmp
2009-11-19 18:30 . 2009-11-19 18:30 2929152 ----a-w- d:\windows\Internet Logs\xDB11E.tmp
2009-11-17 21:55 . 2009-11-17 21:55 -------- d-----w- d:\programmi\File comuni\Apple
2009-11-17 21:55 . 2009-11-17 21:55 -------- d-----w- d:\programmi\Apple Software Update
2009-11-17 21:55 . 2009-11-17 21:55 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Apple
2009-11-17 19:25 . 2009-11-17 13:28 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\NOS
2009-11-14 15:10 . 2009-11-13 23:03 -------- d-----w- d:\programmi\Java
2009-11-14 15:08 . 2009-11-14 15:08 152576 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-14 15:08 . 2009-11-14 15:08 79488 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-14 12:36 . 2009-11-14 12:41 2926080 ----a-w- d:\windows\Internet Logs\xDB8.tmp
2009-11-14 12:36 . 2009-11-14 12:41 1353728 ----a-w- d:\windows\Internet Logs\xDB9.tmp
2009-11-13 23:03 . 2009-11-13 23:03 152576 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Sun\Java\jre1.6.0_16\lzma.dll
2009-11-10 15:18 . 2009-11-10 15:21 2904064 ----a-w- d:\windows\Internet Logs\xDB6.tmp
2009-11-10 15:18 . 2009-11-10 15:21 1342464 ----a-w- d:\windows\Internet Logs\xDB7.tmp
2009-11-07 21:51 . 2009-11-08 03:23 1338368 ----a-w- d:\windows\Internet Logs\xDB5.tmp
2009-11-07 21:51 . 2009-11-08 03:23 3197952 ----a-w- d:\windows\Internet Logs\xDB4.tmp
2009-11-07 14:10 . 2009-11-07 14:10 -------- d-----w- d:\documents and settings\Administrator\Dati applicazioni\Avira
2009-11-06 08:20 . 2009-11-17 13:28 34112 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\opig5uvk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg_bootstrap.exe
2009-11-06 08:20 . 2009-11-17 13:28 32448 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\opig5uvk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2009-11-06 08:20 . 2009-11-17 13:28 22352 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\opig5uvk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2009-11-04 16:53 . 2009-11-04 16:54 2776064 ----a-w- d:\windows\Internet Logs\xDB3.tmp
2009-11-04 13:04 . 2009-11-04 13:04 -------- d-----w- d:\documents and settings\Administrator\Dati applicazioni\heart sign bird
2009-11-04 13:04 . 2009-11-04 13:04 258048 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\heart sign bird\cdrommanagerbarb.exe
2009-11-04 13:04 . 2009-11-04 13:04 344064 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\heart sign bird\logoidlewipelong.exe
2009-11-04 13:04 . 2009-11-04 13:04 -------- d-----w- d:\documents and settings\All Users\Dati applicazioni\Grid Blue Memo Site
2009-11-04 13:04 . 2009-11-04 13:04 843776 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\heart sign bird\hwwppwsl.exe
2009-11-04 13:04 . 2009-11-04 13:04 -------- d-----w- d:\programmi\heart sign bird
2009-11-04 12:57 . 2009-11-04 13:04 569344 ----a-w- d:\documents and settings\Administrator\Dati applicazioni\heart sign bird\PILE BURN FAST.exe
2009-11-04 12:57 . 2009-08-04 22:39 -------- d-----w- d:\programmi\Messenger Plus! Live
2009-11-03 16:25 . 2009-11-03 16:30 2918912 ----a-w- d:\windows\Internet Logs\xDB1.tmp
2009-11-03 16:25 . 2009-11-03 16:30 1324544 ----a-w- d:\windows\Internet Logs\xDB2.tmp
2009-10-30 16:13 . 2009-07-29 14:56 4212 ---h--w- d:\windows\system32\zllictbl.dat
2009-10-30 16:12 . 2009-10-30 16:12 75932 ----a-w- d:\windows\system32\drivers\klick.dat
2009-10-30 16:12 . 2009-10-30 16:12 74396 ----a-w- d:\windows\system32\drivers\klin.dat
2009-10-30 13:06 . 2008-04-14 12:00 82834 ----a-w- d:\windows\system32\perfc010.dat
2009-10-30 13:06 . 2008-04-14 12:00 486246 ----a-w- d:\windows\system32\perfh010.dat
2009-10-29 20:48 . 2009-10-29 20:48 664 ----a-w- d:\windows\system32\d3d9caps.dat
2009-10-29 11:41 . 2009-10-29 11:41 117923 ----a-w- d:\windows\Internet Logs\vsmon_2nd_2009_10_28_13_52_37_small.dmp.zip
2009-10-24 16:44 . 2009-08-06 10:32 24 ----a-w- d:\windows\popcinfot.dat
2009-10-20 06:15 . 2009-10-20 06:15 114891 ----a-w- d:\windows\Internet Logs\vsmon_2nd_2009_10_19_21_26_20_small.dmp.zip
2009-10-11 03:17 . 2009-11-13 23:04 411368 ----a-w- d:\windows\system32\deploytk.dll
.

------- Sigcheck -------

[-] 2008-05-09 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . d:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"DAEMON Tools Lite"="d:\programmi\DAEMON Tools Lite\daemon.exe" [2008-07-17 490952]
"EPSON Stylus DX4000 Series"="d:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE" [2006-02-21 131072]
"msnmsgr"="d:\programmi\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"grid title"="d:\docume~1\ADMINI~1\DATIAP~1\HEARTS~1\PILE BURN FAST.exe" [2009-11-04 569344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-14 16010752]
"NeroFilterCheck"="d:\programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="d:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"avgnt"="d:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="d:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 919016]
"memo site kind that"="d:\documents and settings\All Users\Dati applicazioni\Grid Blue Memo Site\Poll anti.exe" [2009-12-29 843776]
"SunJavaUpdateSched"="d:\programmi\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="d:\programmi\QuickTime\QTTask.exe" [2009-11-10 417792]
"GrooveMonitor"="d:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"d:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\programmi\\eMule\\emule.exe"=
"d:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"d:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7118:TCP"= 7118:TCP:wyjkrz

R2 AntiVirMailService;Avira AntiVir MailGuard;d:\programmi\Avira\AntiVir Desktop\avmailc.exe [30/10/2009 13.13.53 194817]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\programmi\Avira\AntiVir Desktop\sched.exe [30/10/2009 13.13.54 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;d:\programmi\Avira\AntiVir Desktop\avwebgrd.exe [30/10/2009 13.13.53 434945]
R3 PAC207;Trust WB-1200p Mini Webcam;d:\windows\system32\drivers\PFC027.sys [24/02/2005 11.29.14 162176]
S0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [29/07/2009 16.11.01 717296]
S2 zyepnef;Windows Config;d:\windows\system32\svchost.exe -k netsvcs [14/04/2008 13.00.00 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
zyepnef
.
------- Scansione supplementare -------
.
uStart Page = hxxp://google.mini20.com
IE: E&sporta in Microsoft Excel - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
LSP: d:\programmi\Avira\AntiVir Desktop\avsda.dll
TCP: {71C8E0D0-9200-4DE4-B791-6FF3A1891527} = 192.168.1.1
FF - ProfilePath - d:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\opig5uvk.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - www.google.it
FF - plugin: d:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\opig5uvk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: d:\programmi\Mozilla Firefox\plugins\NPOP7PlugIn.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 17:18
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zyepnef]
"ServiceDll"="d:\windows\system32\fjxtutic.dll"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(500)
d:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(556)
d:\programmi\Avira\AntiVir Desktop\avsda.dll
.
Ora fine scansione: 2009-12-29 17:20:04
ComboFix-quarantined-files.txt 2009-12-29 16:20

Pre-Run: 21.129.134.080 byte disponibili
Post-Run: 21.138.960.384 byte disponibili

- - End Of File - - 46A60644A543B3F2B775176F59B89DC0