- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- Aiuto. RKIT/Agent.biiu
-
Aiuto. RKIT/Agent.biiu
Ciao a tutti.
Avrei bisogno del vostro aiuto, ho un PC con XPsp3 e con AVIRA.
Mentre navigavo mi si è bloccato firefox e poi mi è apparsa una segnalazione di AVIRA di un visus.
Ho spento e riacceso il pc.
Ora il mio pc con win XP arriva alla videata del desktop, ma segnala di continuo finestre dell'AVIRA, con messaggi sempre diversi che aspetta una risposta utente.
Esempio :
c:\windows\system\win32\drivers\61883.sys
contiene il modello di rilevamento rookit RKIT/Agent.biiuOgni messaggio cambia il file di sistema (parpart.sys,pdrell.sys,altro) e rimane invariato la segnalazione.
Io al messaggio rispondo nega l'accesso, e poi appare un altro messaggio.
HELP Per favoreLogfile of HijackThis v1.99.1 Scan saved at 0.44.33, on 10/09/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Avira\AntiVir Desktop\avguard.exe C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe C:\Programmi\Java\jre6\bin\jqs.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Avira\AntiVir Desktop\avgnt.exe C:\Programmi\LogMeIn\x86\LogMeInSystray.exe C:\Programmi\File comuni\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe C:\Programmi\LogMeIn\x86\LMIGuardian.exe C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\HPQ\SHARED\HPQWMI.exe C:\Programmi\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Vidalia Bundle\Polipo\polipo.exe C:\WINDOWS\system32\cmd.exe C:\Programmi\Windows Live\Contacts\wlcomm.exe C:\Programmi\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxtxtpwxwxw.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxtxtpgo.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxtxtpgo.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxtxtpgo.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxtxtpgo.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.246.236.74:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll O2 - BHO: (no name) - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_it;_rv:1.9.2)_Gecko/20100115_Firefox/3.6" -"hxtxtp3d.paginegialle.it/flyer/resizeindex.jsp?datasetType=seat&prjQuery=1271098204351&vista=0&width=1440&height=721" O4 - Startup: monmvr32.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=hxtxtpwxwxw.hp.com O16 - DPF: {0084C3C2-4B0E-11D1-8064-0060977B0E09} (Attachmate Edit3270 Class) - hxtxtpappl.seda.it/hostview/AXClient/at3270.CAB O16 - DPF: {0DF0058D-5B88-11D1-B7C7-0006296A7CDE} (AtmCommandBar Class) - hxtxtpappl.seda.it/hostview/AXClient/atcommon.CAB O16 - DPF: {1356B571-7919-11CF-A2DA-08005A48F0E4} (Attachmate Configuration Object - TN3270) - hxtxtpappl.seda.it/hostview/AXClient/TN327.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxtxtpgo.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {23BFA621-48D9-11D2-B3D4-000629ED42AF} (Attachmate Custom Code Page Installer) - hxtxtpappl.seda.it/hostview/axclient/aucpdnld.cab O16 - DPF: {2D168880-539F-4967-BA11-F7C2862B9E1D} (CPlayFirstDiaperDashControl Object) - hxtxtpwxwxw.shockwave.com/content/diaperdash/sis/DiaperDashWeb.1.0.0.4.cab O16 - DPF: {3DC1AC46-CA1A-11CF-BECD-08005A9B94B7} (Attachmate Screen3270 Object) - hxtxtpappl.seda.it/hostview/AXClient/as3270.CAB O16 - DPF: {3E5C2E12-57B6-11D1-8956-0006291171A1} (Attachmate Browser Frame Class) - hxtxtpappl.seda.it/hostview/AXClient/ataction.CAB O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - hxtxtp212.109.149.253/LNetCam.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxtxtpupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139435806828 O16 - DPF: {7D731A83-6C80-4EA4-9646-5E06A0513274} (Sandlot Loader Control) - hxtxtpwxwxw.shockwave.com/content/snailmail/sis/slgwebinstall.cab O16 - DPF: {7F37B328-86F5-11CF-B401-08005AC024EB} (Attachmate Session Object) - hxtxtpappl.seda.it/hostview/AXClient/ascommon.CAB O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - hxtxtpvoceviva-vip.tiscali.it/netphone/ocx/mosquito.cab O16 - DPF: {C79D3167-6133-4E7C-821C-5C114611022D} (CamImage Class) - hxtxtpwxwxw.scform.unifi.it/webcam/pro/CameraControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxtxtpfpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - hxtxtpwxwxw.shockwave.com/content/zuma/sis/popcaploader_v10.cab O16 - DPF: {E13F1132-4CA0-4005-84D3-51406E27D269} (BTDownloadCtrl Control) - hxtxtpwxwxw.shockwave.com/content/thinktanks/sis/BTDownloadCtrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54ACE526-163A-4D42-8468-2A37A3C23EE0}: NameServer = 10.0.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{A90488C5-CDD6-4D3E-8485-90DF57114D98}: NameServer = 10.0.0.2 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Unknown owner - C:\Programmi\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe (file missing) O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Unknown owner - C:\Programmi\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe (file missing) O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Servizio trasferimento intelligente in background (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Servizio di Google Update (gupdate1c9ce92c6f5c574) (gupdate1c9ce92c6f5c574) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe (file missing) O23 - Service: Aggiornamenti automatici (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
-
Dal messaggio dell'antivirus che fa apparire la finestra con la segnalazione, una delle tante in sequenza:
c:\windows\system\win32\drivers\61883.sys
contiene il modello di rilevamento rookit RKIT/Agent.biiu.. non si capisce quale programma sia in esecuzione che pare voglia accedere a tutti questi file .sys....
... programma che è partito in automatico all'avvio di xp...
-
In nottata ho eseguito l'antivirus AVIRA:
Avira AntiVir Personal Data del file di report: venerdì 10 settembre 2010 01:30 Ricerca di 2796879 virus e programmi indesiderati. Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus Numero di serie : 0000149996-ADJIE-0000001 Piattaforma : Windows XP Versione di Windows : (Service Pack 3) [5.1.2600] Modalità di avvio : Booting eseguito regolarmente Nome utente : SYSTEM Nome computer : MARCO Informazioni sulla versione: BUILD.DAT : 9.0.0.24 21699 Bytes 10/06/2010 09:34:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:26:40 AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:29 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:56 LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:14 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 14:49:11 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:48:19 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:46:34 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:59:35 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:51:35 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 16:40:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 07:09:57 VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 07:09:58 VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 07:09:58 VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 07:09:58 VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 07:09:58 VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 07:09:58 VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 07:09:23 VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 07:39:52 VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 18:24:47 VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 18:24:52 VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 14:53:15 VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 20:01:48 VBASE019.VDF : 7.10.10.130 132608 Bytes 10/08/2010 20:01:55 VBASE020.VDF : 7.10.10.158 131072 Bytes 12/08/2010 20:02:11 VBASE021.VDF : 7.10.10.190 136704 Bytes 16/08/2010 20:32:44 VBASE022.VDF : 7.10.10.217 118272 Bytes 19/08/2010 22:25:49 VBASE023.VDF : 7.10.10.246 130048 Bytes 23/08/2010 18:56:15 VBASE024.VDF : 7.10.11.11 144896 Bytes 25/08/2010 18:56:28 VBASE025.VDF : 7.10.11.33 135168 Bytes 27/08/2010 18:56:38 VBASE026.VDF : 7.10.11.52 148992 Bytes 31/08/2010 18:56:57 VBASE027.VDF : 7.10.11.75 124928 Bytes 03/09/2010 18:57:12 VBASE028.VDF : 7.10.11.92 137728 Bytes 06/09/2010 06:14:32 VBASE029.VDF : 7.10.11.107 166400 Bytes 08/09/2010 12:43:28 VBASE030.VDF : 7.10.11.108 2048 Bytes 08/09/2010 12:43:28 VBASE031.VDF : 7.10.11.120 62464 Bytes 09/09/2010 17:47:08 Motore : 8.2.4.50 AEVDF.DLL : 8.1.2.1 106868 Bytes 30/07/2010 07:40:36 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26/08/2010 18:56:59 AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 19:26:34 AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 17:14:27 AERDL.DLL : 8.1.8.2 614772 Bytes 25/07/2010 07:10:28 AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 20:01:58 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25/07/2010 07:10:21 AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03/09/2010 18:57:29 AEHELP.DLL : 8.1.13.3 242038 Bytes 26/08/2010 18:56:38 AEGEN.DLL : 8.1.3.20 397684 Bytes 26/08/2010 18:56:36 AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 17:14:20 AECORE.DLL : 8.1.16.2 192887 Bytes 25/07/2010 07:10:02 AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:14:18 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:02 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:14:06 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 22:35:24 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:10 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:45 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:12 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:38 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:28 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 13:11:50 RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 07:16:42 Impostazioni di configurazione per la scansione attuale: Nome del job................................: Scansione completa del sistema File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp Report......................................: basso Azione primaria.............................: interattivo Azione secondaria...........................: ignora Scansione dei record master di avvio........: Attivo Scansiona record di avvio...................: Attivo Record di avvio.............................: C:, Scansione dei programmi attivi..............: Attivo Scansiona la registrazione..................: Attivo Cerca Rootkits..............................: Attivo Controllo di integrità dei file di sistema..: Non attivo Modalità di scansione file..................: Tutti i file Scansione degli archivi.....................: Attivo Limita la profondità di ricorsione..........: 20 Archivio estensioni Smart...................: Attivo Macro euristico.............................: Attivo File euristico..............................: medio Avvio della scansione: venerdì 10 settembre 2010 01:30 È stata avviata la scansione per accertare la presenza di oggetti nascosti. Sono stati esaminati '78175' oggetti, sono stati rilevati '0' oggetti nascosti. La scansione dei processi in esecuzione verrà avviata: Scansione processo 'scrnsave.scr' - '1' modulo(i) scansionato(i) Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i) Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i) Scansione processo 'wlcomm.exe' - '1' modulo(i) scansionato(i) Scansione processo 'cmd.exe' - '1' modulo(i) scansionato(i) Scansione processo 'polipo.exe' - '1' modulo(i) scansionato(i) Scansione processo 'firefox.exe' - '1' modulo(i) scansionato(i) Il modulo è OK -> 'C:\Programmi\Mozilla Firefox\firefox.exe' [AVVISO] Impossibile aprire il file! Scansione processo 'wmiapsrv.exe' - '1' modulo(i) scansionato(i) Scansione processo 'msnmsgr.exe' - '1' modulo(i) scansionato(i) Scansione processo 'hpqwmi.exe' - '1' modulo(i) scansionato(i) Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i) Scansione processo 'vidalia.exe' - '1' modulo(i) scansionato(i) Scansione processo 'LMIGuardian.exe' - '1' modulo(i) scansionato(i) Scansione processo 'TeaTimer.exe' - '1' modulo(i) scansionato(i) Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i) Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i) Scansione processo 'LogMeInSystray.exe' - '1' modulo(i) scansionato(i) Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i) Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i) Scansione processo 'eabservr.exe' - '1' modulo(i) scansionato(i) Scansione processo 'HP Wireless Assistant.exe' - '1' modulo(i) scansionato(i) Scansione processo 'SynTPEnh.exe' - '1' modulo(i) scansionato(i) Scansione processo 'hpwuSchd2.exe' - '1' modulo(i) scansionato(i) Scansione processo 'atiptaxx.exe' - '1' modulo(i) scansionato(i) Scansione processo 'wmiprvse.exe' - '1' modulo(i) scansionato(i) Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i) Scansione processo 'Apache.exe' - '1' modulo(i) scansionato(i) Scansione processo 'wdfmgr.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'mysqld-nt.exe' - '1' modulo(i) scansionato(i) Scansione processo 'MDM.EXE' - '1' modulo(i) scansionato(i) Scansione processo 'LSSrvc.exe' - '1' modulo(i) scansionato(i) Scansione processo 'jqs.exe' - '1' modulo(i) scansionato(i) Scansione processo 'cvpnd.exe' - '1' modulo(i) scansionato(i) Scansione processo 'btwdins.exe' - '1' modulo(i) scansionato(i) Scansione processo 'Apache.exe' - '1' modulo(i) scansionato(i) Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i) Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i) Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i) Scansione processo 'ati2evxx.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i) Scansione processo 'ati2evxx.exe' - '1' modulo(i) scansionato(i) Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i) Scansione processo 'services.exe' - '1' modulo(i) scansionato(i) Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i) Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i) Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i) 53 processi scansionati con '53' Moduli Avvio della scansione dei record master di avvio: Record master di avvio dell'Hard Disk 0 [INFO] Nessun virus è stato trovato! Avvio della scansione dei record di avvio: Record di avvio 'C:\' [INFO] Nessun virus è stato trovato! Avvio della scansione dei file eseguibili (registro): Il registro è stato scansionato ( 65 file ). Avvio della scansione del file selezionati: Inizia con la scansione di 'C:\' C:\hiberfil.sys [AVVISO] Impossibile aprire il file! [NOTA] Questo è un file di sistema di Windows. [NOTA] Impossibile aprire questo file per la scansione. C:\pagefile.sys [AVVISO] Impossibile aprire il file! [NOTA] Questo è un file di sistema di Windows. [NOTA] Impossibile aprire questo file per la scansione. C:\Documents and Settings\Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\6.0\30\780d1cde-7274a0f8 [0] Tipo di archivio: ZIP --> Inicio.class [RILEVAMENTO] Contiene il modello di rilevamento del virus Java JAVA/Dldr.Agent.D C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache8677420143516650772.tmp [0] Tipo di archivio: ZIP --> myf/y/AppletX.class [RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2008-5353.Y --> myf/y/LoaderX.class [RILEVAMENTO] Contiene il modello di rilevamento del virus Java JAVA/Selace.S --> myf/y/PayloadX.class [RILEVAMENTO] Contiene il modello di rilevamento del virus Java JAVA/Selace.W C:\Documents and Settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\monmvr32.exe [AVVISO] Impossibile aprire il file! C:\Programmi\PPStream\PSNetwork.dll [RILEVAMENTO] Contiene il modello di rilevamento per l'adware o lo spyware ADSPY/Wsear.I.6.D.4 C:\Programmi\Shockwave.com\Backspin Billiards\product\Backspin.exe [RILEVAMENTO] Si tratta del cavallo di Troia TR/Horse.KEB C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2486.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2490.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2503.zip [0] Tipo di archivio: ZIP --> Setup.exe [RILEVAMENTO] Contiene il modello di rilevamento per l'adware o lo spyware ADSPY/Agent.ZK C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2645.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196274.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196275.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196276.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196316.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196330.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196412.sys [RILEVAMENTO] Si tratta del cavallo di Troia TR/Agent.5218.A C:\WINDOWS\LastGood\system32\drivers\changer.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\drmkaud.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\ndisip.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\nmnt.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\nwlnkflt.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\parport.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\slip.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\usbccgp.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\usbstor.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\LastGood\system32\drivers\usbuhci.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD17.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD1B.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD23.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD26.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD29.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD2D.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD35.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD38.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu C:\WINDOWS\system32\drivers\OLD3C.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu Avvio della disinfezione: C:\Documents and Settings\Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\6.0\30\780d1cde-7274a0f8 [NOTA] Il file è stato spostato in quarantena con il nome '4cb9c2e7.qua'! C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache8677420143516650772.tmp [NOTA] Il file è stato spostato in quarantena con il nome '4cfbc310.qua'! C:\Programmi\PPStream\PSNetwork.dll [RILEVAMENTO] Contiene il modello di rilevamento per l'adware o lo spyware ADSPY/Wsear.I.6.D.4 [NOTA] Il file è stato spostato in quarantena con il nome '4cd7c304.qua'! C:\Programmi\Shockwave.com\Backspin Billiards\product\Backspin.exe [RILEVAMENTO] Si tratta del cavallo di Troia TR/Horse.KEB [NOTA] Il file è stato spostato in quarantena con il nome '4cecc312.qua'! C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2486.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X [NOTA] Il file è stato spostato in quarantena con il nome '4cbbc315.qua'! C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2490.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X [NOTA] Il file è stato spostato in quarantena con il nome '488cd62e.qua'! C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2503.zip [NOTA] Il file è stato spostato in quarantena con il nome '4dcaee66.qua'! C:\RECYCLER\S-1-5-21-4086523763-937378262-3662516338-1003\Dc2645.wma [RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.WMA.Wimad.X [NOTA] Il file è stato spostato in quarantena con il nome '4dc9fef6.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196274.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cbac2e3.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196275.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4dcdbc4c.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196276.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4dcf97dc.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196316.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cbac2e4.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196330.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cbac2e6.qua'! C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP646\A0196412.sys [RILEVAMENTO] Si tratta del cavallo di Troia TR/Agent.5218.A [NOTA] Il file è stato spostato in quarantena con il nome '4cbac2e7.qua'! C:\WINDOWS\LastGood\system32\drivers\changer.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4ceac31f.qua'! C:\WINDOWS\LastGood\system32\drivers\drmkaud.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cf6c329.qua'! C:\WINDOWS\LastGood\system32\drivers\ndisip.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cf2c31b.qua'! C:\WINDOWS\LastGood\system32\drivers\nmnt.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cf7c324.qua'! C:\WINDOWS\LastGood\system32\drivers\nwlnkflt.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cf5c32f.qua'! C:\WINDOWS\LastGood\system32\drivers\parport.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cfbc319.qua'! C:\WINDOWS\LastGood\system32\drivers\slip.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cf2c325.qua'! C:\WINDOWS\LastGood\system32\drivers\usbccgp.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4cebc32c.qua'! C:\WINDOWS\LastGood\system32\drivers\usbstor.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f6b01e5.qua'! C:\WINDOWS\LastGood\system32\drivers\usbuhci.sys [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f6a09bd.qua'! C:\WINDOWS\system32\drivers\OLD17.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4ccdc305.qua'! C:\WINDOWS\system32\drivers\OLD1B.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f4f115e.qua'! C:\WINDOWS\system32\drivers\OLD23.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f4e1926.qua'! C:\WINDOWS\system32\drivers\OLD26.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f4922ee.qua'! C:\WINDOWS\system32\drivers\OLD29.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f482ab6.qua'! C:\WINDOWS\system32\drivers\OLD2D.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4f4b327e.qua'! C:\WINDOWS\system32\drivers\OLD35.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '48a74f6e.qua'! C:\WINDOWS\system32\drivers\OLD38.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '48a65736.qua'! C:\WINDOWS\system32\drivers\OLD3C.tmp [RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiu [NOTA] Il file è stato spostato in quarantena con il nome '4ccdc306.qua'! Fine della scansione: venerdì 10 settembre 2010 07:31 Tempo impiegato: 5:49:04 Ora(e) La scansione è stata completamente eseguita. 22100 Directory scansionate 1142618 I file sono stati scansionati 47 Rilevati virus e/o programmi indesiderati 0 I file sono stati classificati come sospetti 0 I file sono stati eliminati 0 I virus o i programmi indesiderati sono stati riparati 45 File spostati in quarantena 0 File rinominati 4 Impossibile scansionare i file 1142567 File non infetti 15880 Archivi scansionati 4 Avvisi 47 Note 78175 Oggetti scansionati durante la scansione dei rootkit 0 Sono stati rilevati oggetti nascosti
Sopra è indicato chiaramente il messaggio che mi dava AVIRA:
[RILEVAMENTO] Contiene il modello di rilevamento del Rootkit RKIT/Agent.biiuRiavviato, il pc ... sto verificando....
... per ora mi manca il firefox.exe e questo non è un problema, posso installare nuovamente firefox....Domanda.
Tutti quei file .SYS che sono ora in quarantena !!!!!
Come posso procedere?
-
Ciao dreammark,
procedi in questo modo;
scansiona con:
- malwarebytes "aggiornato"; carica il log su mediafire.com e riporta l'url qui sul forum.
- effettua una ripulita con ccleaner.
- posta un nuovo log con hijackthis.
-
qui trovi il log della scansione semplice di malwarebytes:
mediafire.com/?de5exx8wpnl5irx
come si può vedere dal log, ho rimosso dei file infetti.
Devo fare una scansione completa?
Dopo che malwarebytes ha rimosso i file infetti, ho fatto il rivvio ed è comparso il file monmvr32.exe sulla cartella C:\Documents and Settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica
AVIRA lo ha intercettato e l'ho messo in quarantena.
Un dubbio. L'avvio del pc devo farlo in modalità provvisoria per rieseguire malwarebytes... l'esecuzione che vedi sopra è con avvio normale.
Per quanto riguarda cccleaner, devo cancellare i file temporanei? Devo fare qualche altra operazione?
-
Dopo scansione semplice di malwaerbytes, ho lanciato hijackthis e questo è il risultato :
Logfile of HijackThis v1.99.1 Scan saved at 20.43.20, on 11/09/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Avira\AntiVir Desktop\sched.exe C:\Programmi\Avira\AntiVir Desktop\avguard.exe C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe C:\Programmi\Java\jre6\bin\jqs.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Apache Group\Apache2\bin\Apache.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Avira\AntiVir Desktop\avgnt.exe C:\Programmi\LogMeIn\x86\LogMeInSystray.exe C:\Programmi\File comuni\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\LogMeIn\x86\LMIGuardian.exe C:\Programmi\Windows Live\Messenger\msnmsgr.exe C:\Programmi\HPQ\SHARED\HPQWMI.exe C:\Programmi\Vidalia Bundle\Polipo\polipo.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programmi\Windows Live\Contacts\wlcomm.exe C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe C:\Programmi\UltraEdit-32\uedit32.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxxxwxwxwx.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxxxxgo.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxxxxgo.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxxxxxgo.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxxxgo.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.246.236.74:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll O2 - BHO: (no name) - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_it;_rv:1.9.2)_Gecko/20100115_Firefox/3.6" -"xxxxxx3d.paginegialle.it/flyer/resizeindex.jsp?datasetType=seat&prjQuery=1271098204351&vista=0&width=1440&height=721" O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=xxxxxxwxwxwx.hp.com O16 - DPF: {0084C3C2-4B0E-11D1-8064-0060977B0E09} (Attachmate Edit3270 Class) - xxxxxxappl.seda.it/hostview/AXClient/at3270.CAB O16 - DPF: {0DF0058D-5B88-11D1-B7C7-0006296A7CDE} (AtmCommandBar Class) - xxxxxxappl.seda.it/hostview/AXClient/atcommon.CAB O16 - DPF: {1356B571-7919-11CF-A2DA-08005A48F0E4} (Attachmate Configuration Object - TN3270) - xxxxxxappl.seda.it/hostview/AXClient/TN327.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - xxxxxxgo.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {23BFA621-48D9-11D2-B3D4-000629ED42AF} (Attachmate Custom Code Page Installer) - xxxxxxappl.seda.it/hostview/axclient/aucpdnld.cab O16 - DPF: {2D168880-539F-4967-BA11-F7C2862B9E1D} (CPlayFirstDiaperDashControl Object) - xxxxxxwxwxwx.shockwave.com/content/diaperdash/sis/DiaperDashWeb.1.0.0.4.cab O16 - DPF: {3DC1AC46-CA1A-11CF-BECD-08005A9B94B7} (Attachmate Screen3270 Object) - xxxxxxappl.seda.it/hostview/AXClient/as3270.CAB O16 - DPF: {3E5C2E12-57B6-11D1-8956-0006291171A1} (Attachmate Browser Frame Class) - xxxxxxappl.seda.it/hostview/AXClient/ataction.CAB O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - xxxxxx212.109.149.253/LNetCam.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxxxxupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139435806828 O16 - DPF: {7D731A83-6C80-4EA4-9646-5E06A0513274} (Sandlot Loader Control) - xxxxxxwxwxwx.shockwave.com/content/snailmail/sis/slgwebinstall.cab O16 - DPF: {7F37B328-86F5-11CF-B401-08005AC024EB} (Attachmate Session Object) - xxxxxxappl.seda.it/hostview/AXClient/ascommon.CAB O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - xxxxxxvoceviva-vip.tiscali.it/netphone/ocx/mosquito.cab O16 - DPF: {C79D3167-6133-4E7C-821C-5C114611022D} (CamImage Class) - xxxxxxwxwxwx.scform.unifi.it/webcam/pro/CameraControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - xxxxxxfpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - xxxxxxwxwxwx.shockwave.com/content/zuma/sis/popcaploader_v10.cab O16 - DPF: {E13F1132-4CA0-4005-84D3-51406E27D269} (BTDownloadCtrl Control) - xxxxxxwxwxwx.shockwave.com/content/thinktanks/sis/BTDownloadCtrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54ACE526-163A-4D42-8468-2A37A3C23EE0}: NameServer = 10.0.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{A90488C5-CDD6-4D3E-8485-90DF57114D98}: NameServer = 10.0.0.2 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Unknown owner - C:\Programmi\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe (file missing) O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Unknown owner - C:\Programmi\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe (file missing) O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Servizio trasferimento intelligente in background (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Servizio di Google Update (gupdate1c9ce92c6f5c574) (gupdate1c9ce92c6f5c574) - Unknown owner - C:\Programmi\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe (file missing) O23 - Service: Aggiornamenti automatici (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
-
Ho lanciato poi cccleaner, la cancellazione del registro mi propone questo:
mediafire.com/?p6c5gchmha2d554
Ho cancellato solo i riferimenti MUI mancante, come procedo?