Rimuovere Bagle (antivirus non funziona)

[lunedì, febbraio 23, 2009 | 254 commenti ]

L’antivirus non funziona, il firewall è bloccato e il computer non si riavvia in modalità provvisoria?
Qualunque programma tentate di avviare / installare vi viene restituito l' errore:
"Non è un applicazione Win 32 valida" ?
Forse è colpa di Bagle.

Un po' di storia

Il 2007 si apre con il ritorno del worm Bagle, apparso per la prima volta tre anni prima.
Il virus allora si era diffuso rapidamente attraverso le reti del P2P (eMule e altri) veicolandosi attraverso file ZIP, camuffati da screensaver e file eseguibili che, una volta avviati, disabilitavano i programmi di sicurezza.
Adesso Bagle è ritornato alle cronache con una variante che utilizza tecniche dei rootkit per diffondersi, ma lasciando invariato il suo comportamento che consiste nel disattivare antivirus, firewall e antispyware.

Funzionamento e caratteristiche
Bagle appartiene alla categoria dei virus polimorfi, in grado cioè di modificare il proprio codice ad ogni infezione per renderne più difficile il riconoscimento da parte degli antivirus.
Classificato come trojan.downloader, dopo aver infettato un computer provvede a scaricare un altro codice nocivo da Internet. Dopodiché inizia a propagarsi via e-mail allegando file compressi dal nome variabile, come ad esempio new_price12-Dec-2006 oppure sui canali di Peer to Peer (P2P). Quando il file in allegato al messaggio di posta elettronica corrotto viene aperto, il virus installa nel PC vittima i file hldrrr.exe e wintems.exe all’interno della cartella di sistema C:\Windows\system32. Il primo funge da “hijacker” ed è in grado di prendere il controllo del browser modificandone la pagina iniziale e indirizzando così l’utente verso siti indesiderati. Al secondo file malevolo è assegnato il compito di scaricare dalla rete un terzo codice dannoso individuato con il nome hidr.exe, che si occuperà di disattivare antivirus, firewall e altri programmi di sicurezza installati nel sistema. Attraverso un falso driver m_hook.sys, realizzato con tecniche di sviluppo tipiche dei rootkit che lo rendono completamente invisibile a qualsiasi software, cerca quindi di ottenere l'accesso al Kernell di Windows, cioè direttamente al suo codice sorgente in modo da interporsi tra il sistema operativo e qualsiasi altro software allo scopo di prenderne il controllo.

Sintomi del virus
Il worm inizia, così, la sua attività dannosa: come prima cosa, disattiva i processi dei software di sicurezza, impedendone l’utilizzo o la reinstallazione. Altera quindi il funzionamento dei programmi di pulizia e diagnostica e modifica il file host di Windows (quello che gestisce la connessione a Internet), bloccando l’accesso a siti che forniscono assistenza di scan on-line o dai quali scaricare tool di rimozione. Infine, elimina alcune chiavi e sotto chiavi dal registro di sistema per impedirne l’avvio in modalità provvisoria e ne crea di sue per garantirsi l’esecuzione ogni volta che si accende il PC.

Come rimuovere il Bagle?
Nel corso degli anni il virus Bagle ha cambiato variante : l'anno 2009 si è aperto con un nuovo file eseguibile winupgro.exe, due driver srosa.sys e srosa2.sys e dunque essendo cambiati i nomi dei file infetti, i vari tool utilizzati per rimuovere il virus (come Hijackthis, Gmer, The avenger, OTMoveIt3, Combofix, Elibagla -quest' ultimo su Windows Vista non riesce ad accedere ad alcune cartelle infettate-) non funzionano più.
Qualora proviate ad utilizzarli, il messaggio che comparirà è il seguente:
Non è un' applicazione di Win32 valida.

1 Disabilitate il Ripristino configurazione di sistema
Quando una macchina è stata infettata da un virus, un worm o un trojan, è possibile che la funzionalità di Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul PC riportandoli in vita anche dopo la loro rimozione.

*In Windows Xp dal menu Start/Impostazioni/ Pannello di controllo cliccate due volte sull’icona Sistema e, nella finestra che si apre, spostatevi sul tab Ripristino configurazione di sistema. Spuntate Disattiva Ripristino configurazione di sistema dando conferma all’azione con Applica.

*In Windows Vista andate su Start/Pannello di controllo/Sistema e manutenzione/Sistema.
Sulla sinistra cliccate su Impostazioni avanzate di sistema poi sul Tab Protezione sistema e togliete il segno di spunta sui drive di sistema.

Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.

Lo stesso percorso è raggiungibile anche cliccando con il tasto destro del mouse sull'icona Computer che trovate sul desktop.
Selezionate Protezione sistema.
Togliete la spunta da tutti i dischi.
Confermate cliccando sul pulsante Disattiva ripristino configurazione di sistema.

2 Scaricate lo strumento indispensabile per la rimozione del virus:
Download FindyKill
Se il link non dovesse funzionare scaricatelo da qui (grazie Giulio per la segnalazione del link funzionante).
Doppio click sul file scaricato (se avete Windows Vista tasto destro e scegliete l' opzione "Esegui come amministratore"), seguite le istruzioni sullo schermo per installarlo e poi doppio click sull' icona del programma creata sul desktop (se avete Windows Vista tasto destro e scegliete l' opzione "Esegui come amministratore"):

Apparirà la schermata principale, premete il tasto E della vostra tastiera e selezionate la lingua Inglese:

Ecco le varie opzioni che si presentano:

1. Search for infected files: Ricerca dei file infetti
2. Clean infected files found: Elimina i file infetti
3. Uninstall FindyKill: Disinstalla FindyKill
4. Search for Cracks / Keygens: Cerca Cracks / Keygens
Q. Exit FindyKill: Chiude FindyKill

Dal momento che il programma esegue una ricerca anche nei supporti rimuovibili, collegate le vostre periferiche esterne (chiavette USB , dischi esterni ecc.)
Per fare in modo che il tool esegua una ricerca nel vostro computer dei file infetti cliccate 1 sulla vostra tastiera e premete INVIO [Enter]
Attendete qualche minuto...

A fine ricerca vi comparirà l' avviso del log dei file infetti presenti sul vostro pc che potrete trovare nel percorso C:\FindyKill.txt

Tale report vi mostrerà:
-I processi attivi
-I processi infetti arrestati
-La ricerca dei file infetti eseguita nei percorsi:

* C:
* C:\WINDOWS
* C:\WINDOWS\Prefetch
* C:\WINDOWS\system32
* C:\WINDOWS\system32\drivers
* C:\Documents and Settings[user]Application Data
* C:\DOCUME~1\[user]\LOCALS~1\Temp
* Le chiavi infette nello Startup del registro
* Lo stato dei servizi (Auto=2 Manuale=3 Disattivato=4)
* La ricerca nei supporti esterni
* Le chiavi del registro Moutpoints2 infette

Adesso, per permettere al programma di rimuovere i file dannosi cliccate 2 sulla vostra tastiera e premete INVIO [Enter]
Vi apparirà una schermata che vi avvisa del fatto che ci saranno un paio di riavvii del vostro pc.

Oltre ad eliminare il Bagle, il tool effettuerà anche le seguenti operazioni:

Ripristinerà la modalità provvisoria
Riparerà l'opzione dei file nascosti
Riavvierà i servizi bloccati dall'infezione (Avvisi, Centro sicurezza PC, Aggiornamenti automatici,Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/Condivisione connessione Internet (ICS) , non sarà più necessario riattivarli da Start/Esegui scrivendo SERVICES.MSC e dando Invio,questo potente tool lo farà per voi!)
Ripulirà i punti MounPoint2 infetti

Dopo il primo riavvio del pc apparirà la seguente schermata in cui vi viene chiesto di premere un tasto qualsiasi della tastiera per avviare la pulizia:

Adesso il tool è alla ricerca delle infezioni...

Il processo è adesso terminato. Premete un tasto qualsiasi della tastiera per leggere il log (esso si trova nel percorso C:\FindyKill.txt)

A questo punto non riavviate il computer , il worm potrebbe essere ancora presente nel pc, eseguite una scansione con Kaspersky removal tool o con Combofix.
Anche una scansione con Malwarebytes' Anti-Malware non farebbe male...

Nel caso in cui non riusciate a far funzionare la connessione a internet (errore 1068) , specialmente se avete una connessione Wi-Fi scaricatevi questi file:
per Xp: Fix XP
per Vista: Fix Vista
Potete anche usare Winsock XP Fix
oppure scaricate XP TCP/IP Repair ,installatelo e lanciatelo, cliccate su Reset TCP/IP e poi su Repair Winsock, riavviate il pc.

Qualora qualcosa fosse andato storto, vi allego anche i file di registro che riparano la modalità provvisoria (usateli solo se il tool non ha ripristinato la mod. provvisoria):
per Windows 2000 SP4 Pro, Windows XP SP2,Windows XPS SP3 : Fix Modalità provvisoria
per Windows Vista: Fix Modalità provvisoria

Ed ecco anche i file di registro per ripristinare l' opzione dei file nascosti (usateli solo se il tool non ha ripristinato l' opzione):
per Xp: Fix file nascosti Xp
per Vista: Fix file nascosti Vista

Basterà eseguire tali file con un doppio click e accettare l'unione al registro.

Infine, riattivate il Ripristino configurazione di sistema disabilitata in precedenza e reinstallate eventualmente i software di sicurezza preferiti.
Migliora il rendimento del tuo pc ora!

Se avete dubbi o difficoltà non esitate a lasciarmi un commento, sarò lieta di aiutarvi.

Se ti e' piaciuto l'articolo, iscriviti al feed o alla newsletter per tenerti sempre aggiornato sui nuovi contenuti del blog!

254 commenti

«Meno recenti ‹Vecchi 1 – 200 di 254 Nuovi› Più recenti»

Anonimo ha detto... @ 28 febbraio 2009 12:30: Sei una grandeeeeeeeeeeee!!!!!!!!
Erano due giorni che impazzivo e non riuscivo a trovare la soluzione per rimuovere Bagle, grazie al tuo articolo e a FindyKill ho finalmente rimosso Bagle dal mio computer che ora funziona perfettamente.Grazie,grazie,grazie,grazie,grazie un miliardo di volte e ancora grazie!!!!!!!!
Adriano.
Laura ha detto... @ 28 febbraio 2009 13:01: Prego Adriano!
Anonimo ha detto... @ 28 febbraio 2009 17:40: Scusate ma io non riesco neanche a cominciare la procedura, perchè mi compare per 20 sec. una pagina nera con le solite opzion: modalità provvisoria, ultima config funzionante ecc.., le ho provate tutte ma non cambia niente: inizia a caricare windows, compare una pagina con scritto "nessun segnale" e si riavvia tornando alla pagina nera con le opzioni.
Non so come uscirne, aiutatemi per favore.
Ciao e grazie Alberto
Laura ha detto... @ 28 febbraio 2009 18:04: ciao Alberto,prova a scaricarti la modalita' provvisoria,la trovi a fine articolo.
Anonimo ha detto... @ 28 febbraio 2009 23:20: Ciao Laura, il problema è che non riesco a lanciare il file perchè si continua a riavviare e non so come entrare nel sistema per farlo.
(ora sto scrivendo da un'altro pc). Ciao Alberto
Laura ha detto... @ 01 marzo 2009 10:32: ma se non si avvia il sistema operativo devi munirti del cd di xp e ripristinarlo con la console di ripristino
Anonimo ha detto... @ 03 marzo 2009 10:55: Volevo ringraziarti Laura, grazie ai tuoi conigli sono riuscita finalemte ad eliminare bagle dal pc.Erano settimane che ci provavo e non ci riuscivo. Ora ho anche reinstallato l'antivirus con successo!!!
Grazie, grazie, grazie!!!!
Annalina.
Laura ha detto... @ 03 marzo 2009 11:09: Prego Annalina!
Anonimo ha detto... @ 04 marzo 2009 19:09: Volevo farti davvero i complimenti Laura, ero pronto a formattare domattina il pc dopo aver preso questo fastidiosissimo worm Bagle, non so come abbia fatto a vedere questa tua guida utilissima e davvero ben dettagliata nei passaggi, so solo che in meno di dieci minuti me ne sono liberato.Voglio esprimerti tutta la mia gratitudine, davvero grazie di cuore. Vincenzo (RC).
Laura ha detto... @ 04 marzo 2009 20:24: Prego Vincenzo :)
Anonimo ha detto... @ 08 marzo 2009 14:46: Cosa dire...GRAZIE!
Avevo già preso Bagle alcuni mesi fa ed avevo dovuto formattare.
Ora grazie al tuo aiuto ho sistemato tutto.
Ancora grazie
Carlo
Laura ha detto... @ 08 marzo 2009 14:53: Prego Carlo!
Anonimo ha detto... @ 08 marzo 2009 20:18: Grazie Laura! Grazie FindyKill! e Fuck Bagle!
Stavo già cercando il caro CD di XP per riformattare..
Mi hai salvato..
Giovanni
Laura ha detto... @ 08 marzo 2009 20:21: Prego Giovanni!
Anonimo ha detto... @ 09 marzo 2009 14:06: Non ci sono parole per ringraziarti! Grazie al tuo preziosissimo aiuto sono riuscito ad eliminare questo fastidiosissimo BAGLE. Ormai stavo per formattare, se non avessi trovato la tua guida. Grazie ancora!!!
Enzo
Laura ha detto... @ 09 marzo 2009 14:10: Prego Enzo!
Anonimo ha detto... @ 11 marzo 2009 17:00: quando inizio la scansione con FINDYKILL mi escono una serie di ACCESSO NEGATO e poi si chiude il programma
Laura ha detto... @ 11 marzo 2009 19:18: ciao,che sistema operativo hai?
Alfredo Di Pietro ha detto... @ 12 marzo 2009 02:29: Grazie mille!!!
FindyKill ha fatto un lavoro egregio ripulendomi il PC dall'insidioso ultimo Bagle che gira in rete. E' stato davvero efficace.
Grazie per avermi indicato questo ottimo programma!
Laura ha detto... @ 12 marzo 2009 08:09: Prego Antonio!
Anonimo ha detto... @ 13 marzo 2009 15:47: TU SEI IL MEJIOOOOO DEI MEJIOOOOO GRAZIE MILLE GRAZIE DAVVERO ....GRAZIE BEPPE DA FIRENZE ....GRAZIEEEEE
Anonimo ha detto... @ 14 marzo 2009 17:35: Grazie mille Laura!!
Ero già pronto a formattare tutto, ma invece ecco spuntare questa tua bellissima guida..
Tutto risolto nel giro di pochissimo tempo...

GRAZIE MILLEEEEEEEEEEE!!!
Laura ha detto... @ 14 marzo 2009 18:07: Prego!
Anonimo ha detto... @ 16 marzo 2009 22:04: laura mi sono innamorato di te!!!!!! grazie centomila..... un bacio massimo
Laura ha detto... @ 16 marzo 2009 22:06: caspiterina Massimo... grazie!
Anonimo ha detto... @ 16 marzo 2009 22:35: sei stata bravissima.... complimenti Laura...
ciao Massimo
Laura ha detto... @ 16 marzo 2009 22:40: :)
Anonimo ha detto... @ 18 marzo 2009 00:44: complimenti,questa guida è in assoluto la migliore in circolazione! su siti molto più "blasonati" si trovano suggerimenti ormai obsoleti per questo virus, i vari avenger e elibagla non funzionano sulla versione del trojan che circola in rete in questo periodo.per la cronaca io me lo sono beccato su emule tramite un firewall zippato che conteneva in realtà l'exe:
NTSB investigators flight recorder (black box) analyzer (una sorta di fake sulle scatole nere degli aerei..) e a sentire in giro a molta gente è andata proprio così.
mille grazie ancora, in mezza giornata ho appurato e risolto l'infezione!
ho solo due domande: non credi sia meglio lasciare disattivata SEMPRE l'utility di creazione di punti di ripristino, oltre che in caso di pulizia virus?
e poi ti suggerivo di linkare la tua procedura anche altrove, credo che farebbe comodo a molti ultimamente!!
un saluto,luca
Laura ha detto... @ 18 marzo 2009 08:18: Ciao Luca,grazie mille per i complimenti e per le informazioni dettagliate che hai dato sul file infetto da bagle!
L'utility dei punti di ripristino a volte è utile quando il pc presenta errori.
Vero,devo linkare la procedura su altri siti!
Anonimo ha detto... @ 19 marzo 2009 13:34: complimenti davvero Laura ti ringrazio sei bravissima...hai salvato un portatile ed un pc di casa e hai evitato di far litigare due famiglie!!!! anccora grazie
Laura ha detto... @ 19 marzo 2009 13:38: Ah bene,sono doppiamente contenta :)
Anonimo ha detto... @ 19 marzo 2009 17:59: ankio ho beccato qst virus da emule...stasera provo subito qst guida...
spero ke mi risolve il problema, sono disperata.
Alessandra
Anonimo ha detto... @ 21 marzo 2009 00:31: Ciao Laura, sono 3 giorni che sto impazzando per sconfiggere un virus. Dalle caratteristiche e dai sintomi credo sia proprio questo ma sono in grande difficolta. Ti spiego: Stavo scaricando normalmente quando il mio pc si è riavviato ed avast e il firewall sono scomparsi e se provo ad avviare qualsiasi programma di sicurezza mi dice la famosa frase "non è un applicazione Win32 valida". Stavo cercando tra i forum ed ho provato con BAGLED, ELIBAGIA, MALWAREBYTE, ma niente da fare. Stamani ho visto la tua guida molto dettagliata (complimenti) ma non riesco nemmeno a partire perchè avviando il file.exe di FINDYKILL mi dice immediatamente quella frase orribile "non è un applicazione Win32 valida". COSA POSSO FARE??? AIUTAMI TI PREGO... GRAZIE MILLE IN ANTICIPO. Leonardo
Laura ha detto... @ 21 marzo 2009 08:43: Ciao Leonardo,prova ad avviare Findykill come amministratore:
Tasto destro sull'icona che hai sul desktop, esegui come amministratore

Oppure segui la directory in programmi (dovrebbe essere C/Programmi/Findykill/Findykill.cmd)ed avvialo direttamente da lì, ma sempre come amministratore, altrimenti riceverai l'avviso di "accesso negato".

Hai provato a vedere se ti funziona la modalità provvisoria?
Danny ha detto... @ 25 marzo 2009 18:23: Ciao Laura, in una parola sola....Sei un mitoo
Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie Grazie
Infinite!!! :-)
Laura ha detto... @ 25 marzo 2009 18:27: Prego Danny!
Anonimo ha detto... @ 28 marzo 2009 14:08: Ciao Laura...grazie a te ho risolto il problema del Bagle che aveva infettato il pc di mio figlio...sei molto brava hai spiegato benissimo come fare e anche per me che sono una schiappa col pc è stato facilissimo...
ora vorrei chiederti se sai anche come eliminare
Win32/Heur.. me lo rileva avg ma nn riesce ad eliminarlo..che mi consigli di fare? ciao e grazie in anticipo..Anna
Laura ha detto... @ 28 marzo 2009 14:19: ciao,usa Malwarebytes Anti-Malware
Anonimo ha detto... @ 28 marzo 2009 14:40: grazie Laura lo faccio subito...ciao Anna
baktiar ha detto... @ 31 marzo 2009 16:38: GRAZIEEE 1000 Laura 3 giorni decine di siti tentativi,fatiche inutili. finalmente risolto alla grande. di nuovo da Baktiar
Laura ha detto... @ 31 marzo 2009 16:40: Prego Baktiar
Baktiar ha detto... @ 03 aprile 2009 01:38: CIAO Laura approfitto un altra volto della tua gentilezza dopo l'elminazione bagle il mio pc
va benissimo, ma subito e dopo un giorno faccio scan con (avira) e (advanced windowscare)sempre trovano qualcosa da dove entrano questi spay e detections? GRAZIE tante
Laura ha detto... @ 03 aprile 2009 08:58: usa Malwarebytes' Anti-Malware
Anonimo ha detto... @ 03 aprile 2009 12:38: find kill non supporta win xp64 ?
Laura ha detto... @ 03 aprile 2009 12:50: Non ti va?
Anonimo ha detto... @ 03 aprile 2009 16:59: no: questo è quello che mi esce. grazie.

|\ _,,,--,,_ ,) FindyKill V4.722
/,`.-'`' -, ;-;;'
__ |,4- ) )-,_ ) /\__________________________________________________________
~~'---''(_/--' (_/-'~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Version non support,e !!

FindyKill ne peut continuer a s'ex,cuter..

Appuyez sur une touche pour quitter FindyKill.
Laura ha detto... @ 03 aprile 2009 18:04: strano che il responso sia in francese,visto che io ho messo nell'articolo la versione inglese di findykill
Anonimo ha detto... @ 03 aprile 2009 18:42: infatti l'avevo trovato da un'altra parte ma anche il " tuo " mi da lo stesso risultato
Laura ha detto... @ 03 aprile 2009 19:28: allora non si puo' :(
Anonimo ha detto... @ 04 aprile 2009 15:51: laura scusa, ma la scansione di findykill qnt dura?
no, x regolarmi, visto k sn 3ore circa k va avanti...
m dice sempre...
"findykill prepare your machine""stopping armfull process"
dv fr qlc io o devo ancora aspettare? risp appena potete grazie
Laura ha detto... @ 04 aprile 2009 15:56: Tu non eseguire nessuna attività sul pc e vedrai che FindyKill si da' una mossa :)
Anonimo ha detto... @ 04 aprile 2009 16:34: lo dv staccare internet mentre fa la scansione?
grazie e scusa se t rompo ma nn sn mlt pratico con il pc...
Laura ha detto... @ 04 aprile 2009 16:41: Si disconnettiti
Anonimo ha detto... @ 04 aprile 2009 17:07: grz mille è il primo virus di qst genere fino ad ora ke mi ha dato seri problemi erano diverse settimane ke cercavo di risolvere e ne stavo uscendo pazzo convinto di riformattarlo ma alla fine vi ho trovatooooooooo grz mille ankora
Anonimo ha detto... @ 04 aprile 2009 19:03: laura ma è possibile ke c metta così tnt???
dall'1 alle 7 ed ancora nn ha finito...
cè sempre la stessa skermata... frs ho sbagliato qlc??
Laura ha detto... @ 04 aprile 2009 20:21: Strano,chiudi tutto,riavvia il pc e riprova.
Anonimo ha detto... @ 04 aprile 2009 22:52: laura credo d aver risolto grazie...
1 ultima cosa...
nn m si sente l'audio... anke qst era colpa dll virus?
Laura ha detto... @ 05 aprile 2009 08:56: No,ti mancano i driver
Anonimo ha detto... @ 05 aprile 2009 14:50: qst driver audio dv posso reperirli?
Laura ha detto... @ 05 aprile 2009 14:53: sul sito del produttore della scheda audio.
Anonimo ha detto... @ 06 aprile 2009 22:23: laura ho risolto ttt grazie a te e alla tua stupenda guida!!
Laura ha detto... @ 06 aprile 2009 22:24: Sono contenta :)
Olimpio ha detto... @ 07 aprile 2009 03:43: mmm...ora tocca a me! :-) formatto o ci provo???
ci provo.....
sono le 3.42 è già una mezz'ora che sto combattendo....
speriamo bene
Laura ha detto... @ 07 aprile 2009 09:43: Fatto Olimpio?Hai sconfitto Bagle? :)
Anonimo ha detto... @ 09 aprile 2009 12:36: ciao... io ho un problema dopo aver avviato findy killy e dopo ke ha effettuato la scansione non mi fa avviare la procedura di pulizia e mi appare una schermata con scritto: Report is here: C:\findykill.txt
Thank you for aving used findykill.
che devo fare?
Laura ha detto... @ 09 aprile 2009 13:05: Ciao,devi cliccare 2 sulla tastiera e premete INVIO [Enter]
Anonimo ha detto... @ 11 aprile 2009 11:34: grande grande come si dice a Napoli tien e qualità (hai i cos' detti...)grazie al tuo articolo ho appena finito è sembra tutto ok l'antivirus è ritornato a vivere. Antonio
Laura ha detto... @ 11 aprile 2009 12:20: Prego,simpatico partenopeo :)
Anonimo ha detto... @ 12 aprile 2009 21:03: Ciao,grazie mille per le indicazioni chiare ed efficaci! Sono riuscito a far ripartire tutto, oramai gia' pensavo a formattare.... Sergio
Laura ha detto... @ 12 aprile 2009 21:05: Prego Sergio :)
Anonimo ha detto... @ 13 aprile 2009 12:02: Mi spiace disturbare nel periodo festivo, ma sono in condizioni peggiori forse delle altre vittime..lancio findykill con l'opzione 1 ma non accetta poi l'opzione 2. l'opzione 2 la accetta solo senza selezionare prima l'opzione 1. Poi le varie schermate che a voi appaiono a me non sono mai apparse...inoltre continuo a disattivare il ripristino configurazione, ma dopo aver eseguito findykill e combofix me lo ritrovo sempre senza spunta..infine, non mi parte il tool di kaspersky, e su uno dei 2 pc infettati mi ha mangiato anche i driver della scheda di rete, non me li fa reinstallare e non mi posso collegare a internet...sono messo proprio male....se puoi darmi dei consigli te ne sarò molto grato. è una settimana e più che perdo 5-6 ore al giorno dietro questi problemi. grazie
cesare
Laura ha detto... @ 13 aprile 2009 12:08: Ciao Cesare,una buona Pasquetta anche a te!
Che sistema operativo hai?
Anonimo ha detto... @ 13 aprile 2009 12:12: xp home per entrambi, grazie, cesare
Laura ha detto... @ 13 aprile 2009 12:16: ma quando avvii una delle opzioni dovrebbe darti qualche errore o messaggio.
hai provato in modalita' provvisoria (se ti funziona)?
Anonimo ha detto... @ 13 aprile 2009 12:21: no in findykill non appare nessun messaggio nè errore particolare, comincia a fare il suo lavoro sia in opzione 1 che 2 ma non appaiono le videate che mostri, se ti può servire ti potrei inviare il report sia findykill che di combofix - il tool di kaspersky come dicevo non si apre.... ho provato anche da modalità provvisoria, ma il risultato non cambia per entrambi.
grazie
cesare
Laura ha detto... @ 13 aprile 2009 12:23: ok,mandameli.
Anonimo ha detto... @ 13 aprile 2009 12:25: no non mi dà alcun messaggio nè errore particolare. nell'opzione 1 non mi permette di digitare 2 nello screen, il opzione 2 fa tutto da solo senza chiedere alcuna operazione. idem in modalità provvisoria.
Anonimo ha detto... @ 13 aprile 2009 12:39: ecco il report del pc 1 per l'opzione 1
############################## [ FindyKill V4.722 ]

# User : Enrico () # ITSPC-67868214
# Update on 04/04/09 by Chiquitine29
# Start at: 12.34.12 | 13/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (64,47 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

################## [ C:\WINDOWS\System32... ]

################## [ C:\Documents and Settings\Enrico\Dati applicazioni ]

################## [ C:\Documents and Settings\Enrico...\Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Searching in removable drives ]

# Presence of files :

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.722 ! ]
Anonimo ha detto... @ 13 aprile 2009 12:44: ############################## [ FindyKill V4.722 ]

# User : Enrico () # ITSPC-67868214
# Update on 04/04/09 by Chiquitine29
# Start at: 12.34.12 | 13/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (64,47 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

################## [ C:\WINDOWS\System32... ]

################## [ C:\Documents and Settings\Enrico\Dati applicazioni ]

################## [ C:\Documents and Settings\Enrico...\Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Searching in removable drives ]

# Presence of files :

pc 1 opzione 1
################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.722 ! ]
Anonimo ha detto... @ 13 aprile 2009 12:45: ############################## [ FindyKill V4.722 ]

# User : Enrico () # ITSPC-67868214
# Update on 04/04/09 by Chiquitine29
# Start at: 12.34.12 | 13/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (64,47 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

################## [ C:\WINDOWS\System32... ]

################## [ C:\Documents and Settings\Enrico\Dati applicazioni ]

################## [ C:\Documents and Settings\Enrico...\Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Searching in removable drives ]

# Presence of files :

pc 1 opzione 1
################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.722 ! ]
Anonimo ha detto... @ 13 aprile 2009 12:52: pc 1 opzione 2
############################## [ FindyKill V4.722 ]

# User : Enrico (Administrators) # ITSPC-67868214
# Update on 04/04/09 by Chiquitine29
# Start at: 12.38.11 | 13/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (64,46 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

################## [ C:\WINDOWS\System32... ]

################## [ C:\Users\...\AppData\Roaming ]

################## [ Cleaning .. Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Cleaning Removable drives ]

# Deleting Files :

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ ! End of Report # FindyKill V4.722 ! ]

ed ecco il report combofix sempre da pc 1
ComboFix 09-04-13.A0 - Enrico 2009-04-13 11.44.26.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.447.210 [GMT 2:00]
Eseguito da: c:\documents and settings\Enrico\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-03-13 al 2009-04-13 )))))))))))))))))))))))))))))))))))
.

2009-04-13 09:15 . 2009-04-13 09:15 -------- d-----w c:\documents and settings\Enrico\Dati applicazioni\Malwarebytes
2009-04-13 09:15 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-13 09:15 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-13 09:15 . 2009-04-13 09:15 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-13 09:15 . 2009-04-13 09:15 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-04-13 08:58 . 2009-04-13 08:58 -------- d-----w c:\documents and settings\Enrico\Dati applicazioni\U3
2009-04-11 10:29 . 2009-04-11 10:29 -------- d-----w C:\NVIDIA
2009-04-11 10:19 . 2009-04-13 09:30 -------- d-----w C:\FindyKill
2009-04-10 11:11 . 2009-04-10 11:11 -------- d-----w C:\_OTMoveIt
2009-04-10 11:03 . 2008-11-06 00:03 -------- d-----w C:\SDFix
2009-04-10 10:53 . 2009-04-10 10:57 -------- d-----w c:\programmi\Navilog1
2009-04-10 09:21 . 2009-04-10 09:21 52130 ----a-w c:\documents and settings\Enrico.zip
2009-04-10 07:59 . 2009-04-10 07:59 -------- d-----w c:\programmi\Trend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-13 09:30 . 2009-04-13 09:28 2322 ----a-w C:\FindyKill.txt
2009-04-10 11:12 . 2004-08-19 12:00 47592 ----a-w c:\windows\system32\perfc010.dat
2009-04-10 11:12 . 2004-08-19 12:00 345010 ----a-w c:\windows\system32\perfh010.dat
2009-04-10 10:57 . 2009-04-10 10:55 2437 ----a-w C:\fixnavi.txt
2009-04-10 07:41 . 2009-04-10 07:41 798 ----a-w C:\avenger.txt
2009-04-08 20:26 . 2007-04-16 13:43 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-04-08 19:30 . 2006-04-18 16:02 -------- d-----w c:\programmi\File comuni\Adobe
2009-04-08 17:19 . 2007-04-16 13:43 -------- d-----w c:\programmi\Kaspersky Lab
2008-10-01 09:06 . 2006-04-21 15:09 17920 ----a-w c:\documents and settings\Enrico\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( SnapShot@2009-04-13_11.10.08,90 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-13 09:15 . 2009-04-06 13:32 38496 c:\windows\system32\drivers\mbamswissarmy.sys
+ 2009-04-13 09:15 . 2009-04-06 13:32 15504 c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2006-03-13 19543592]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]
"\\CESARE\EPSON Stylus Photo R265 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE" [2006-05-19 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"CnxDslTaskBar"="c:\programmi\ADSL USB Modem\CnxDslTb.exe" [2003-08-20 458752]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programmi\Ahead\InCD\InCD.exe" [2004-09-07 1400944]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2006-10-25 282624]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 c:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2005-10-10 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2006-05-09 113664]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
WinZip Quick Pick.lnk - c:\programmi\WinZip\WZQKPICK.EXE [2006-04-18 118784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\sandra.exe"=
"c:\\Programmi\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcSandraSrv.exe"=
"c:\\Programmi\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcDataSrv.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R3 CnxEtP;Conexant AccessRunner USB ADSL LAN Adapter Filter Driver;c:\windows\system32\DRIVERS\CnxEtP.sys [2003-08-20 60288]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\DRIVERS\CnxEtU.sys [2003-08-20 642944]
R3 CnxTgN;Conexant AccessRunner USB ADSL LAN Adapter Driver;c:\windows\system32\DRIVERS\CnxTgN.sys [2003-08-20 103366]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenuto della cartella 'Scheduled Tasks'

2009-04-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-10-10 18:13]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-13 11:45
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-04-13 11.46.51
ComboFix-quarantined-files.txt 2009-04-13 09:46
ComboFix2.txt 2009-04-13 09:26
ComboFix3.txt 2009-04-13 09:11

Pre-Run: 69.197.295.616 byte disponibili
Post-Run: 69,189,107,712 byte disponibili

112 --- E O F --- 2009-01-14 17:02

grazie
cesare
Laura ha detto... @ 13 aprile 2009 12:55: Ma non hai bagle
Anonimo ha detto... @ 13 aprile 2009 12:59: accidenti ma allora che cavolo mi sono beccato?
Anonimo ha detto... @ 13 aprile 2009 13:04: findykill trovava nella prefetch di windows il file windupgro.exe che mi sembra sia proprio lui, o sbaglio?
Laura ha detto... @ 13 aprile 2009 13:10: mi dici che sintomi hai sul pc?
Anonimo ha detto... @ 13 aprile 2009 13:18: molto simili a quelli descritti per bagle. sul pc 1 prima è morto il firewall sygate, poi kasperski e poi la connessione internet - che come dicevo, ho appurato che la scheda di rete non funziona più nè mi accetta di ricaricare i driver -
sul pc 2 invece la connessione internet andava via via rallentando, kasperski impazziva e rallentavano anche tutti gli altri processi
con findykill ho potuto almeno ripristinare la connessione internet sul pc 2. adesso il pc2 è lentissimo nonostante abbia ripetuto sia findykill, combofix e malwarebytes, anche e soprattutto se eseguo gli ultimi 2.
Anonimo ha detto... @ 13 aprile 2009 13:39: non so se è arrivato il commento che ho inserito prima, sono connesso da un vecchio pc che ogni 2 minuti va in crash...
l'infezione è cominciata sul pc 1. prima è morto il firewall, poi kasperski è impazzito e infine la connessione internet è defunta -ho scoperto in seguito che la scheda di rete non funzionava.
HO provato tutti i tool che ho trovato ma mi impediva di aprire qualunque antivirus o tool. solo findykill ha funzionato parzialmente, sono poi riuscito a far aprire in seguito anche combofix, ma non kasperspy tool e il ripristino dei driver -e della connessione.
il pc 2 è iniziato con un rallentamento della connessione fino al blackout totale. anche qui solo findykill ha avuto qualche risultato, ma parziale.
in entrambi anche se spunto la disattivazione del ripristino, dopo combofix mi ritrovo sempre la casella spuntata.
in entrambi lavorare in modalità provvisoria non porta alcun risultato positivo.
sono messo male, vero??
grazie
cesare
Laura ha detto... @ 13 aprile 2009 13:48: allora,fai cosi':
Start --> Esegui --> digita SERVICES.MSC --> Ok) ed abilita questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, devi cliccare con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok)
Anonimo ha detto... @ 13 aprile 2009 13:51: dimenticavo di aggiungere altri particolari
chrome sul pc 2 mi viene sempre disattivato come browser predefinito, dopo il trattamento findykill non ho particolari problemi a navigare per qualche ora, poi tutto ritorna come prima.
findykill cancella il file winugpro.exe ma me lo ritrovo sempre causa l'annullamento della disattivazione del ripristino.
grazie ancora
Cesare
Anonimo ha detto... @ 13 aprile 2009 13:59: grazie, sul pc 2 ho trovato solo avvisi disabilitato, mentre non ho trovato Condivisione connessione Internet (ICS). Ho trovato disattivato ora di windows, DDE , DDE DSDM.
Grazie
CEsare
Laura ha detto... @ 13 aprile 2009 14:02: Cesare,quindi ora hai riattivato i servizi e ti ripartono?
Io ti consiglio di usare anche prevx
Anonimo ha detto... @ 13 aprile 2009 14:37: grazie per il consiglio, ho già scaricato sul pc che si connette, ora vediamo cosa dice..l'altro invece continua a non volerne sapere di reistallare i driver della scheda di rete, nè il tool kasperski.
è un osso duro...
grazie
cesare
Laura ha detto... @ 13 aprile 2009 14:44: Cesare,quindi nelle Gestione Periferiche hai il punto esclamativo giallo sulla scheda di rete?
Che errore ti da quando tenti di installare i driver della scheda?
Di solito la scheda ,una volta messa nel pc,dovrebbe essere rilevata automaticamente da Windows.
Prova anche questa utility
Anonimo ha detto... @ 13 aprile 2009 14:49: prevx ha identificato e rimosso findykill come worm....
Laura ha detto... @ 13 aprile 2009 14:54: ma prevx se non hai il seriale non rimuove nulla ... hai messo il seriale?
Anonimo ha detto... @ 13 aprile 2009 14:54: allora, sul pc 1 il più conciato, nellaschermata gestione periferiche ha il punto esclamativo giallo, esatto. ho provato a disinstallare e reinstallare la periferica con la rilevazione automatica di windows ma non succede nulla o meglio dice che non è possibile. se provo invece a ricaricare i driver mi dice che il file è danneggiato (come per kasperski tool.. e altri). ah, notizia dell'ultima ora: anche prevx (che ho appena installato e acquistato nonchè lanciato) è stato chiuso mentre lavorava...
mica male, vero?
cesare
Laura ha detto... @ 13 aprile 2009 14:56: Magari se facessi queste operazioni in modalità provvisoria sarebbe meglio
Anonimo ha detto... @ 13 aprile 2009 14:57: certo, ho inserito il codice seriale dopo l'acquisto, il programma è partito come un treno e dopo 3 minuti 3 è stato subito bloccato e terminato (con l'avviso di windows di mandare la notifica..)
lo dicevo che è un osso duro...
cesare
Laura ha detto... @ 13 aprile 2009 15:00: Non era mia intenzione farti spendere soldi :(
Volevo solo farti fare la scansione che è gratuita.
Però Prevx è ottimo.
Puoi provare ad eseguirlo in modalità provvisoria?
Anonimo ha detto... @ 13 aprile 2009 15:20: stesso risultato: anche in modalità provvisoria prevx è bloccato, direi mangiato come gli altri..la cosa strana è che ha riconosciuto findykill come worm...mah...mi conviene buttare via tutto e comprarmi un pc nuovo
Laura ha detto... @ 13 aprile 2009 15:24: No,non dire così,al massimo esiste la formattazione.
E comunque prova questo:
http://mondoemule.blogspot.com/2008/07/guida-hijack-this.html
vorrei capire cosa c'è di infetto in system32
Anonimo ha detto... @ 13 aprile 2009 15:30: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.29.48, on 13/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programmi\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\ATMEL USB\WlanMonitor.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\BitDefender\BitDefender 2009\seccenter.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Resta\Documenti\Downloads\HiJackThis.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - -{259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programmi\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dimension4] C:\Programmi\D4\D4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programmi\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programmi\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] \Program\
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus Photo R265 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE /FU "C:\WINDOWS\TEMP\E_SC2.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Resta\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Configuration & Monitor Utility.lnk = C:\Programmi\ATMEL USB\WlanMonitor.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programmi\LingoCom\Translator.lnk
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/IT/install.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://esupport.epson-europe.com/selftest/it/Prg/ESTPTest.cab
O18 - Protocol: bw+0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {A839C465-B3DB-41DB-9C06-AC25F403B5F5} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Programmi\File comuni\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\Logitech\Bluetooth\LBTServ.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programmi\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 21243 bytes
Laura ha detto... @ 13 aprile 2009 15:34: iL LOG è PULITO .
HAI PROVATO IL PROGRAMMA WINSOCKFIX?
http://mondoemule.blogspot.com/2008/08/winsock-xp-fix-ripristinare-la.html
Anonimo ha detto... @ 13 aprile 2009 16:02: Scusa Laura, ma forse siamo andati fuori argomento..ricapitoliamo: sul pc 2 da dove ora scrivo ho il problema che dopo qualche ora la connessione si rallenta fino a bloccarsi. i vari tentativi con i programmi suggeriti non hanno avuto effetto. se provo ad installare il tool di kasperski per la rimozione dei virus "cattvi" qualcosa me lo impedisce, idem per il programma prevx. COn una complicazione supplementare: che prevx identifica come worm findykill che invece è stato l'unico programma a far ripartire la connessione internet bloccata da questo pc. su questo pc ho potuto installare un nuovo antivirus - bitdefender -che però anche lui è stato oggetto di "disturbi" da parte di qualcosa che non so ancora cos'è. Di sicuro qualcosa di anormale nel pc c'è, come dicevo all'inizio findykill trovava un file windupgro.exe nel prefetch di windows.
per l'altro pc vedremo in seguito, sembra più difficile di questo da rimettere in strada
grazie
cesare
Anonimo ha detto... @ 13 aprile 2009 16:27: il pc 1 non risponde a nessuna cura, la scheda di rete rimane morta. magari è morta davvero, ma non ho gli strumenti per capire se è morta davvero.
il pc 2 di cui ho allegato il report hijack ,e su cui ho installato prevx (che non funziona più da subito..) non fa aprire il tool di kasperski. Secondo me c'è qualcosa che non va, anche perchè dopo un pò la connessione si blocca.
cesare
Anonimo ha detto... @ 13 aprile 2009 16:40: non so se è arrivato il commento precedente.
forse è meglio fare il punto della situazione.
il pc che non si connette e che ha la scheda di rete che non funziona continua a non funzionare, non installa i driver e winsock non ha effetto. non installa nessun antivirus.
mentre il pc da cui scrivo ora installa antivirus, ma non il tool di kasperski, e prevx una volta installato non è più partito.
Laura ha detto... @ 13 aprile 2009 18:53: Io non ho capito come fanno due pc ad avere lo stesso problema, lo stesso virus.
Hai avuto questi problemi mentre eseguivi un' operazione in particolare?
Anonimo ha detto... @ 13 aprile 2009 22:03: io credo che il problema si sia verificato prima in quello ora più malconcio, che ho trascurato di esaminare a fondo e "curare" prima del disastro per mancanza di tempo; e che il passaggio del virus da uno all'altro possa essere avvenuto tramite pendrive per trasferire dati da inviare via email.
lo deduco perchè hanno praticamente lo stesso comportamento con gli stessi programmi, rifiutano entrambi il tool di kasperski, con poche eccezioni - su quello che si connette sono riuscito a installare un antivirus diverso dal precedente. il fatto di potersi connettere lo ha "salvato" in parte, finora.
Laura ha detto... @ 13 aprile 2009 22:10: hai provato Malwarebytes' Anti-Malware ?
Inoltre prova questo per ripristinare la connessione internet
Laura ha detto... @ 13 aprile 2009 22:12: e prova anche questa utility
Laura ha detto... @ 13 aprile 2009 22:22: Se ancora non riesci scarica l'utility
AVZ
Scarica questo script utilizzando il menu "salva come"
3.Apri AVZ ed esegui lo script utilizzando l'utility standalone AVZ, il computer verrà riavviato
1)Lancia AVZ.exe e vai sul menu File-> Custom scripts
2)Ora carica lo script utilizzando la funzione "load", e seleziona tutto lo "script.txt"
3)Fai clic su "Run" per eseguire lo script.
Non utilizzare il computer mentre lo script è in esecuzione e attendi che finisca il suo lavoro

4.download Registry Easy per riparare il registro.
Ora usa Malwarebytes antimalware
Anonimo ha detto... @ 14 aprile 2009 19:49: se provo a lanciare AVZ su questo pc mi compare una finestra che dice che non è un'applicazione di win32 valida, mentre sull'altro (quello proprio morto) si apre il programma ma il contenuto non è assolutamente intelleggibile, tutti i comandi sono "criptati" sotto forma di numeri e simboli vari. una domanda da profano: ma come si esegue uno script??
grazie
cesare
Anonimo ha detto... @ 14 aprile 2009 19:53: Ciao...ho eseguito la scanzione con Findykill e mi ha eliminato parecchia roba compreso il file dal quale mi sono beccato il Bagle.Purtroppo però non è cambiato nulla.Con Kaspersky Virus Removal Tool ho avviato la scansione ma nel Finish Time (il tempo per finire la scansione) mi dice che ci vuole fino le 6 di domani mattina e ora sono le 20!Combofix non me lo apre.
C'è qualche altro modo per eliminare sto virus e tornare alla normalità??Norton non me lo apre più e la stessa cosa per superantispyware, mi da sempre il solito messaggio di errore.Con Malwarebytes antimalware ho gia provato a scansionare ma niente...
TI PREGO AIUTAMI!
Alessio
Laura ha detto... @ 14 aprile 2009 23:23: Cesare,devi fare tasto destro su questo link dello script e scegliere "salva destinazione con nome" e metterlo sul desktop per esempio.
poi avvii AVZ.exe e vai sul menu File-> Custom scripts
2)Ora carica lo script che hai salvato prima utilizzando la funzione "load", e seleziona tutto lo "script.txt"
3)Fai clic su "Run" per eseguire lo script.
Non utilizzare il computer mentre lo script è in esecuzione e attendi che finisca il suo lavoro

Alessio,fai anche tu la stessa procedura.
Laura ha detto... @ 14 aprile 2009 23:25: se non trovi sul desktop il file script.txt quando premi load alla voce "nome file" ci metti script.txt e premi il tasto Apri
chiara ha detto... @ 16 aprile 2009 16:08: grazie grazie grazie!!!
utilissima guida...ho risolto tutto :D
Laura ha detto... @ 16 aprile 2009 16:11: Prego Chiara :)
Angelo ha detto... @ 20 aprile 2009 01:38: SANTA SUBITO
Laura ha detto... @ 20 aprile 2009 09:58: Oh cielo,mi lusinghi!
Angelo ha detto... @ 20 aprile 2009 11:28: Ciao Laura, volevo chiederti l'ultima cosa.
Come faccio a vedere se il tool mi ha riparato la modalità provvisoria e l'opzione dei file nascosti??
Grazie ancora
Laura ha detto... @ 20 aprile 2009 13:04: Ciao Angelo,per vedere se funziona la modalità provvisoria quando accendi il pc devi premere ripetutamente il tasto F8,scegliere per l'appunto la modalità provvisoria e vedere se si carica.
Per i file nascosti fai cosi':
-Windows XP / 2000:
1. Aprire il menu START > Impostazioni > Pannello di controllo > Opzioni cartella
-Windows Vista:
1. Aprire il menu START > Pannello di controllo > Aspetto e personalizzazione > Opzioni cartella

2. Premente sulla scheda Visualizzazione e mettete il pallino alla voce Visualizza cartelle e file nascosti
Khamul ha detto... @ 22 aprile 2009 16:44: Grazie mille in poche ore ho debellato la minacca! :)
Laura ha detto... @ 22 aprile 2009 16:50: Prego Khamul!
Andrea ha detto... @ 24 aprile 2009 08:42: ciao Laura...scusa una domanda, ho seguito tutta la tua guida e tutto è tornato alla normalità, internet c'è,la modalità provvisoria anche però ciò nonostante per certi antivirus ancora mi dice la famosa frase "non è un applicazione di win32 valida",poi ci sono ancora piccoli errori grafici che son iniziati con l'arrivare del virus...ed infine stamattina non mi fa aprire i documenti dall'icona sul desktop,devo andarci per forza da risorse del computer...ti prego aiutami a risolvere questi ultimi problemi...

P.S.In questi giorni ho dovuto cancellare alcuni programmi che erano stati infettati dal virus(tipo msn) la cosa strana è che i programmi infettati cambiavano la loro icona con un'altra dove si vedeve il viso di un uomo calvo su sfondo bianco...ed era un applicazione chiamata "Bi Soft"...sapresti darmi spiegazioni? non vorrei che in qualche modo mi infetti altri programmi...

Grazie mille per la tua guida e per il tuo prezioso aiuto

Ciao, Andrea
Laura ha detto... @ 24 aprile 2009 09:33: ciao Andrea,hai ancora residui di Bagle,fai così:
Scarica OTMoveIT2Vai in modalità provvisoria
Avvia OTMoveIT e assicurati che la casella Unregister Dll 's and Ocx's sia spuntata.
copia l'elenco che ti riporto in basso nel riquadro di sinistra Paste List of Files/Folders to be moved

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%WINDOWS\system32\re_file.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\WINDOWS\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\elist.xpt

Clicca su Moveit per avviare l'eliminazione e quando ti chiede il riavvio digli di Si
Nel riquadro di destra sotto results dovresti trovare l'avviso di avvenuta cancellazione,a questo punto clicca su Exit
Laura ha detto... @ 24 aprile 2009 09:40: inoltre nel log di Findykill devi leggere la sezione Searching other Infections e riportarmene il contenuto.
Se la Variante di Bagle che ti sei preso è fetente devi anche cancellare manualmente dal registro queste chiavi (potresti non averle tutte):

1. HKEY_CURRENT_USER\software\local appwizard-generated
2. applications\winupgro
3. HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\Local AppWizard-Generated Applications\winupgro
4. HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\bisoft HKEY_CURRENT_USER\Software\bisoft
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "drvsyskit"=-
6. HKLM\SYSTEM\CurrentControlSet\Services\srosa
7. HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
8. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
9. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
10. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
11. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
12. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
13. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
14. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
15. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
16. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
17. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
18. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
19. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
20. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
21. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
22. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
23. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
24. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
25. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
26. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
27. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
28. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
29. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
30. Questi sono alcuni dei servizi che vengono disabilitati e quello indicato
31. è il valore a cui devono essere reimpostati.
32. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start"=dword:00000002
33. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc "Start"=dword:00000003
34. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess “Start"=dword:00000003
35. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio "Start"=dword:00000003
Andrea ha detto... @ 24 aprile 2009 14:39: intanto grazie per le risposte...
allora c'è un problema il link ke mi hai dato per OTMoveIT non funziona :(
poi ho fatto nuovamente la scansione con findykill e quella voce che mi hai detto di guardare dice "Nothing found"...
cmq ti posto il log così lo vedi tu che è meglio ^^

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ Corrupted files # Re-Installation required ]

C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Documents and Settings\AND7\Desktop\Combo.exe
C:\Programmi\a-squared Anti-Malware\a2cmd.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\Programmi\a-squared Anti-Malware\a2HiJackFree.exe
C:\Programmi\a-squared Anti-Malware\a2scan.exe
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\a-squared Anti-Malware\a2start.exe
C:\Programmi\a-squared Anti-Malware\a2upd.exe
C:\Programmi\a-squared Anti-Malware\a2wizard.exe
C:\Programmi\Drive Rescue\rescue.exe
C:\Programmi\File comuni\Acer\OrbiCam\BIN\UPDATE.EXE
C:\Programmi\File comuni\NewTech Infosystems\LiveUpdate\LiveUpdate.exe
C:\Programmi\Firefly Studios\Stronghold Legends\Firewall.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\NBA LIVE 07\IE\EN\update.exe
C:\Programmi\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Rustbfix\avenger.exe
C:\WINDOWS\$hf_mig$\KB873339\update\update.exe
C:\WINDOWS\$hf_mig$\KB885835\update\update.exe
C:\WINDOWS\$hf_mig$\KB885836\update\update.exe
C:\WINDOWS\$hf_mig$\KB886185\update\update.exe
C:\WINDOWS\$hf_mig$\KB887472\update\update.exe
C:\WINDOWS\$hf_mig$\KB888302\update\update.exe
C:\WINDOWS\$hf_mig$\KB890046\update\update.exe
C:\WINDOWS\$hf_mig$\KB890859\update\update.exe
C:\WINDOWS\$hf_mig$\KB891781\update\update.exe
C:\WINDOWS\$hf_mig$\KB893756\update\update.exe
C:\WINDOWS\$hf_mig$\KB894391\update\update.exe
C:\WINDOWS\$hf_mig$\KB896358\update\update.exe
C:\WINDOWS\$hf_mig$\KB896423\update\update.exe
C:\WINDOWS\$hf_mig$\KB896428\update\update.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB899587\update\update.exe
C:\WINDOWS\$hf_mig$\KB899591\update\update.exe
C:\WINDOWS\$hf_mig$\KB900485\update\update.exe
C:\WINDOWS\$hf_mig$\KB900725\update\update.exe
C:\WINDOWS\$hf_mig$\KB901017\update\update.exe
C:\WINDOWS\$hf_mig$\KB901190\update\update.exe
C:\WINDOWS\$hf_mig$\KB901214\update\update.exe
C:\WINDOWS\$hf_mig$\KB902400\update\update.exe
C:\WINDOWS\$hf_mig$\KB904942\update\update.exe
C:\WINDOWS\$hf_mig$\KB905414\update\update.exe
C:\WINDOWS\$hf_mig$\KB905749\update\update.exe
C:\WINDOWS\$hf_mig$\KB908519\update\update.exe
C:\WINDOWS\$hf_mig$\KB908531\update\update.exe
C:\WINDOWS\$hf_mig$\KB910437\update\update.exe
C:\WINDOWS\$hf_mig$\KB911280\update\update.exe
C:\WINDOWS\$hf_mig$\KB911562\update\update.exe
C:\WINDOWS\$hf_mig$\KB911927\update\update.exe
C:\WINDOWS\$hf_mig$\KB913580\update\update.exe
C:\WINDOWS\$hf_mig$\KB914388\update\update.exe
C:\WINDOWS\$hf_mig$\KB914389\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\$hf_mig$\KB916595\update\update.exe
C:\WINDOWS\$hf_mig$\KB917344\update\update.exe
C:\WINDOWS\$hf_mig$\KB917953\update\update.exe
C:\WINDOWS\$hf_mig$\KB918118\update\update.exe
C:\WINDOWS\$hf_mig$\KB918439\update\update.exe
C:\WINDOWS\$hf_mig$\KB919007\update\update.exe
C:\WINDOWS\$hf_mig$\KB920213\update\update.exe
C:\WINDOWS\$hf_mig$\KB920670\update\update.exe
C:\WINDOWS\$hf_mig$\KB920683\update\update.exe
C:\WINDOWS\$hf_mig$\KB920685\update\update.exe
C:\WINDOWS\$hf_mig$\KB920872\update\update.exe
C:\WINDOWS\$hf_mig$\KB921503\update\update.exe
C:\WINDOWS\$hf_mig$\KB922582\update\update.exe
C:\WINDOWS\$hf_mig$\KB922819\update\update.exe
C:\WINDOWS\$hf_mig$\KB923414\update\update.exe
C:\WINDOWS\$hf_mig$\KB923561\update\update.exe
C:\WINDOWS\$hf_mig$\KB923980\update\update.exe
C:\WINDOWS\$hf_mig$\KB924191\update\update.exe
C:\WINDOWS\$hf_mig$\KB924270\update\update.exe
C:\WINDOWS\$hf_mig$\KB925902\update\update.exe
C:\WINDOWS\$hf_mig$\KB926255\update\update.exe
C:\WINDOWS\$hf_mig$\KB926436\update\update.exe
C:\WINDOWS\$hf_mig$\KB927779\update\update.exe
C:\WINDOWS\$hf_mig$\KB927802\update\update.exe
C:\WINDOWS\$hf_mig$\KB927891\update\update.exe
C:\WINDOWS\$hf_mig$\KB928255\update\update.exe
C:\WINDOWS\$hf_mig$\KB928843\update\update.exe
C:\WINDOWS\$hf_mig$\KB929123\update\update.exe
C:\WINDOWS\$hf_mig$\KB929969\update\update.exe
C:\WINDOWS\$hf_mig$\KB930178\update\update.exe
C:\WINDOWS\$hf_mig$\KB930916\update\update.exe
C:\WINDOWS\$hf_mig$\KB931261\update\update.exe
C:\WINDOWS\$hf_mig$\KB931836\update\update.exe
C:\WINDOWS\$hf_mig$\KB932823-v3\update\update.exe
C:\WINDOWS\$hf_mig$\KB933360\update\update.exe
C:\WINDOWS\$hf_mig$\KB933566-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB935448\update\update.exe
C:\WINDOWS\$hf_mig$\KB935839\update\update.exe
C:\WINDOWS\$hf_mig$\KB935840\update\update.exe
C:\WINDOWS\$hf_mig$\KB936021\update\update.exe
C:\WINDOWS\$hf_mig$\KB936357\update\update.exe
C:\WINDOWS\$hf_mig$\KB937143-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB937894\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938828\update\update.exe
C:\WINDOWS\$hf_mig$\KB938829\update\update.exe
C:\WINDOWS\$hf_mig$\KB939653-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB941202\update\update.exe
C:\WINDOWS\$hf_mig$\KB941644\update\update.exe
C:\WINDOWS\$hf_mig$\KB941693\update\update.exe
C:\WINDOWS\$hf_mig$\KB942615-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB942763\update\update.exe
C:\WINDOWS\$hf_mig$\KB943055\update\update.exe
C:\WINDOWS\$hf_mig$\KB943485\update\update.exe
C:\WINDOWS\$hf_mig$\KB944533-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB944653\update\update.exe
C:\WINDOWS\$hf_mig$\KB945553\update\update.exe
C:\WINDOWS\$hf_mig$\KB946026\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB947864-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB948590\update\update.exe
C:\WINDOWS\$hf_mig$\KB948881\update\update.exe
C:\WINDOWS\$hf_mig$\KB950749\update\update.exe
C:\WINDOWS\$hf_mig$\KB950759-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB950760\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952004\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB953838-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB953839\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956572\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957095\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB959426\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB960803\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB961373\update\update.exe
C:\WINDOWS\$hf_mig$\KB963027-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\$NtServicePackUninstall$\sysinfo.exe
C:\WINDOWS\ServicePackFiles\i386\sysinfo.exe
C:\WINDOWS\SoftwareDistribution\Download\06b0f521304043956302ba744f97dcba\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\09f556f093ab98bd109d210f2dace00d\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\0d07e0cdbff4709645248c151176b53e\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\12b9e8f8eebcb9aba38ac4b12434f71a\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\1684f71eec2031255b609f0577c85989\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\3de0c26c72d2b7698916a50ad7e8ebe3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\5aa525e90b2bd0646a33215135e6b43b\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\62f85f6b839ed8419c568002690573fc\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\674a006b1eb7a1ed153d4425555682b7\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\6c4172838694ebc5974367f02a896bb0\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\7e2e5813e919b58e35efdbb4731a851d\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\877b076f2124507265df343890755cc3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\b6473c3f027259155549376e8f2eb4c0\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\c1c60e0ed5b3d23c2baea5a7885756c0\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\dd96e6276d20af3260a7a7f06431a98f\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\020e3a538fb6692e3474ce7d248e74b3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\030cee98094fad58879959507d0a3bbe\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0aedf22a6bee8687f6850d26b6b54500\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0e692d3902b69000c8144638584597a6\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\16f8cf12a5705b0b033605568085bb24\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\224ba468a86e8d0061a7790bdb310de4\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\394420d9162b075da929971d89ebcdad\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\3f27b461c0f9a62b8fa8e14ad7dbfa1e\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4a21e4a4baf7b06ae3c4f07320d4476c\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4b200d2cc5b560390333fc259d271d4b\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\772f1256938633b5b9740a8d6a7b8cca\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\795e9519bc7aef76cafa1adb468d24ec\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\88353418ea511a0258dcb6fe02452b0d\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b1a734f9cbdd841e1847d3568884b8b8\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b597f6d514771ff52342410242f39a1a\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bbeeb23b5b2e3de3534b05cdd0d66134\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c5ef63cdaf95d2ce36fc3bb7c1d489e3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c7aeca063cf2b08bdd58793064da36e2\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d39784e407c4a8fe1179d74a5168e40c\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e00359974c4639947c49bc104f23ab4b\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5079c3679492bd662e2a9dc281f73a4\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe

################## [ ! End of Report # FindyKill V4.726 ! ]
Laura ha detto... @ 24 aprile 2009 14:52: pardon,eccoti il link
Andrea ha detto... @ 24 aprile 2009 15:09: mmm...strano ho fatto tutto quello che mi hai detto ma qnd ho fatto Moveit! nel riquadro di destra sono spuntati tutti i file con accanto la scritta "not found"...ovviamente non mi ha chiesto il riavvio...in più ho cercato nel regedit i file che mi hai detto che forse avrei dovuto rimuovere manualmente ma...non ci sono...
Mistero!!
che fare??
Laura ha detto... @ 24 aprile 2009 15:43: fai una scansione con prevx
Andrea ha detto... @ 24 aprile 2009 23:50: personalmente mi sono messo a ridere...quando dopo aver scaricato prevx e cliccato su esegui mi è spuntato "non è un applicazione di win32 valida"...sarà la disperazione...
laura altri suggerimenti???
grazie per tutto l'aiuto che mi stai dando ^^
Laura ha detto... @ 25 aprile 2009 10:05: hai provato combofix?
Anonimo ha detto... @ 25 aprile 2009 11:38: Buon giorno Laura. E buongiorno a tutti.
Anche io ormai combatto senza sosta con bagle da tre giorni. Ho provato di tutto ma la macchina diventa sempre più lenta. La modalità provvisoria non funziona (nonostante le procedure segnalate sul sito...) e quando riesco a riavviare il processore lavora continuamente con picchi costanti del 100%. Praticamente impossibile fare qualsiasi cosa... Formatto tutto ?
Atashi
Laura ha detto... @ 25 aprile 2009 12:07: Caio Atashi,hai scaricato il file della modalità provvisoria?
Anonimo ha detto... @ 27 aprile 2009 01:05: ciao laura, io credo di avere lo stesso problema.
non riesco più ad accedere a chiavetta usb, l'antivirus non parte più in automatico all'avvio ma devo attivarlo io, ogni tanto da mozilla si aprono pagine senza il mio intervento.
domani, e cmq dopo la tua risposta provo la tua guida, ma la domanda, anzi le domande sono:
connessione disattivata....questo lo so...
antivirus, che faccio, lo attivo manualmente o no?
prima di iniziare la procedura scarico tutti i pachetti e poi man mano l'installo?
grazie e spero di riscriverti presto per ringraziarti come tutti gli altri....
ciao da alessandro
Laura ha detto... @ 27 aprile 2009 09:14: ciao Alessandro,io per antivirus disattivato intendo proprio dai servizi di windows.
cioè chi ha bagle non riesce ad avviarlo neanche manualmente cliccando sull'antivirus ma deve fare così:
Start --> Esegui --> digita SERVICES.MSC --> Ok) ed abilita questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, devi cliccare con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok)

se vuoi verificare di avere bagle,scarica prima tutti i pacchetti,ma sappi che findykill per chi non ha baglepuò creare danni.
io direi prima di tutto di usare HijackThis
Anonimo ha detto... @ 27 aprile 2009 11:13: a me l'antivirus, avira versione free, non parte in automatico all'avvio. l'ombrello resta chiuso, però se ci clicco sopra col tasto destro riesco ad attivarlo e a fare scansione del pc ed aggiornamento dell'antivirus stesso.
ho notato però che nei rootkit trova sempre dei virus, allo stesso punto, ovvero arriva al 83,2% di scansione e trova virus, io gli do delete ma niente, riavvvio ed è sempre li.
faccio prima una prova con HijackThis allora, e magari una scansione con malwarebytes anti-malware?
ciao e grazie in anticipo per la tua disponibilità,
Alessandro
Laura ha detto... @ 27 aprile 2009 11:27: esatto Alessandro,ciò che mi stai dicendo conferma quello che penso: Avira non è il massimo.
Andrea ha detto... @ 27 aprile 2009 14:51: ciao laura scusa se non ti ho più risposto ma in questi giorni non ci sono stato...mi hai chiesto se ho usato combofix...bè anche lui la stessa fine degli altri...non è un applicazione di win32...=''( non sò più che fare...
Laura ha detto... @ 27 aprile 2009 15:27: mi sa che devi formattare :(
Andrea ha detto... @ 27 aprile 2009 15:37: nuuu =< non posso formattarlo...una domanda ma..pensi che se metto dei dispositivi rimovibili(pen-drive,mp3,cd) potrebbero essere infettati oppure,visto che comunque il virus sembra in parte bloccato, non subirebbero danni???
Laura ha detto... @ 27 aprile 2009 15:44: gli altri tool li hai usati?
elibagla,il removal tool di kaspersky ?
io penso che se lasci il pc in queste condizioni infetti anche i dispositivi rimovibili.
Andrea ha detto... @ 27 aprile 2009 15:58: si pensa che sto rifacendo la scansione con kaspersky...cavoli...che faccio non posso formattarlo e non posso mettere dispositivi per salvare le cose più importanti...
sono in un vicolo cieco....
Laura ha detto... @ 27 aprile 2009 16:08: eh ma a volte non puoi non formattare ;-)
Andrea ha detto... @ 27 aprile 2009 16:15: no non posso...in quel pc c'è la mia vita e ...anche il mio lavoro...me tapino ='''<
Laura ha detto... @ 27 aprile 2009 16:22: Capisco,ma potresti fare un backup dei tuoi dati,non so,leggiti le mie guide a partire da questa
Andrea ha detto... @ 27 aprile 2009 16:49: mmm...vedrò cosa fare...sigh povero computer...cosa ti ho fatto =(
prima di procedere con la formattazione...potrei chiedere aiuto ad un amico molto lontano... è un programmatore, pensi che saprebbe aiutarmi per quanto riguarda i virus??
(sono ostinato...odio la formattazione)
Laura ha detto... @ 27 aprile 2009 17:28: Tentar non nuoce!
Anonimo ha detto... @ 28 aprile 2009 14:33: ciao laura...credo di aver bekkato il bagle..con la tua procedura dopo aver digitato 1 mi dice:
report is here:c:1fyndiki..txt thank you for ....
e poi nn mi fa digitare il tasto 2...ma devo riaprire il programma ridigitare la E e poi il 2...o dovrebbe farlo sulla skermata dove mi appare la scritta che ho messo sopra???help,..ciao laura
Anonimo ha detto... @ 28 aprile 2009 15:24: ciao laura,
piccolo aggiornamento; ho messo kaspersky grazie alla tua guida e va benissimo, anche se quando andavo ad installarlo mi diceva nessun disco rilevato o qualcosa del genere, poi ho fatto un controllo con HijackThis e c'era qualcosa di sospetto che ho rimosso, poi ho fatto una scansione con il kaspersky che mi ha trovato questo:

28/04/2009 15.01.40 Rilevato: http://www.viruslist.com/it/advisories/23655 File C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.1.0.0_x-ww_b319d8da\ msxml4.dll
28/04/2009 14.59.52 Rilevato: http://www.viruslist.com/it/advisories/23655 File C:\WINDOWS\system32\ msxml4.dll
28/04/2009 14.58.08 Rilevato: http://www.viruslist.com/it/advisories/30285 File C:\Programmi\microsoft office\office11\ winword.exe
28/04/2009 14.58.04 Rilevato: http://www.viruslist.com/it/advisories/31453 File C:\Programmi\microsoft office\office11\ powerpnt.exe
28/04/2009 14.58.02 Rilevato: http://www.viruslist.com/it/advisories/33954 File C:\Programmi\microsoft office\office11\ excel.exe
28/04/2009 14.58.01 Rilevato: http://www.viruslist.com/it/advisories/30150 File C:\Programmi\microsoft office\office11\ mspub.exe
28/04/2009 14.57.59 Rilevato: http://www.viruslist.com/it/advisories/29320 File C:\Programmi\microsoft office\office11\ outlook.exe
28/04/2009 14.57.31 Rilevato: http://www.viruslist.com/it/advisories/31744 File C:\Programmi\File comuni\Microsoft Shared\office11\ mso.dll
28/04/2009 14.56.08 Rilevato: http://www.viruslist.com/it/advisories/23483 File C:\Programmi\adobe\acrobat 6.0\acrobat\ acrobat.exe
28/04/2009 14.54.39 Rilevato: http://www.viruslist.com/it/advisories/29434 File C:\Documents and Settings\Admin\Impostazioni locali\Temp\nsm978.tmp\ 7z.exe
28/04/2009 14.51.43 Rilevato: http://www.viruslist.com/it/advisories/30285 File C:\Programmi\microsoft office\office11\ winword.exe
28/04/2009 14.51.43 Rilevato: http://www.viruslist.com/it/advisories/30150 File C:\Programmi\microsoft office\office11\ mspub.exe
28/04/2009 14.51.14 Rilevato: http://www.viruslist.com/it/advisories/33954 File C:\Programmi\microsoft office\office11\ excel.exe
28/04/2009 14.51.11 Rilevato: http://www.viruslist.com/it/advisories/23483 File C:\Programmi\adobe\acrobat 6.0\acrobat\ acrobat.exe
28/04/2009 14.51.11 Rilevato: http://www.viruslist.com/it/advisories/31453 File C:\Programmi\microsoft office\office11\ powerpnt.exe
28/04/2009 14.50.45 Rilevato: http://www.viruslist.com/it/advisories/29320 File C:\Programmi\microsoft office\office11\ outlook.exe
poi per scrupolo ha dato anche una scansione con antimalware.
ho controllato anche la modlità provissoria, parte senza problemi.
però ho sempre il problema con dischi esterni o chiavette usb, se provo a collegarle al pc si sente anche il classico suono di rilevamento hardware ma poi in risorse non la visualizza. tutto questo è successo dopo che "il mitico" avira aveva segnalato un virus.
come faccio a sapere i danni che ha fatto questo virus? puo essere che avira in parte ha bloccato il bagle limitando i danni? se di bagle si tratta?
Alessandro
Laura ha detto... @ 28 aprile 2009 17:15: a me il log sembra pulito,prova a seguire questa guida.
Vale sia per il masterizzatore che per gli altri supporti rimovibili.
Anonimo ha detto... @ 29 aprile 2009 00:49: ciao laura...credo di aver bekkato il bagle..con la tua procedura dopo aver digitato 1 mi dice:
report is here:c:1fyndiki..txt thank you for ....
e poi nn mi fa digitare il tasto 2...ma devo riaprire il programma ridigitare la E e poi il 2...o dovrebbe farlo sulla skermata dove mi appare la scritta che ho messo sopra???help,..ciao laura
Laura ha detto... @ 29 aprile 2009 10:02: ma quando poi riesci a premere 2 ti pulisce il pc o no?
Anonimo ha detto... @ 29 aprile 2009 22:51: no nn mifa tutta la procedura ke kiede di premere un tasto per pulire ecc...mi posta solo il log
Laura ha detto... @ 30 aprile 2009 09:48: mi posti il log?
grazie.
Anonimo ha detto... @ 30 aprile 2009 15:49: certo laura...
--------------------------------------------------------------------------------

ecco il log dell opzione 2 di findykill:

############################## [ FindyKill V4.727 ]
# User : Paolo (Administrators) # UTENTE-9D3BEB79
# Update on 27/04/09 by Chiquitine29
# Start at: 16:05:27 | 2009-04-27
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
#
#
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

############################## [ Active Processes ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
################## [ Infected Temp Files ]

################## [ Registry / Infected keys ]

################## [ Cleaning Removable drives ]
Deleted ! C:\Avenger
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
################## [ Searching Other Infections ]
# -> Nothing found.
################################### [ Cracks / Keygens / Serials ]
C:\Documents and Settings\Paolo\desktop\WINDOWS MEDIA 11,NERO7,INT.EXPL.7\[APPS-ITA] Nero Burning Rom 7.5.9.0 + guida - ita + Crack.rar
################## [ ! End of Report # FindyKill V4.727 ! ]
Laura ha detto... @ 30 aprile 2009 16:00: Ciao,leggo dal log che Findykill ti ha rimosso bagle:
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

Ora quale problema hai?
Anonimo ha detto... @ 30 aprile 2009 17:51: si laura...è ke avast è danneggiato e nn riesco a disinstallarlo in nessun modo..nemmeno coi tool,,,kome faccio???grz ankora e scusa il disturbo
Anonimo ha detto... @ 30 aprile 2009 21:22: ciao laura ho problemi a disinstallare avast,, nn ci riesco in nessun modo...compreso i vari tool consigliatomi...grz
Laura ha detto... @ 30 aprile 2009 21:40: ok,prova questo tool
Anonimo ha detto... @ 01 maggio 2009 14:05: --------------------------------------------------------------------------------

ciao laura...il tool nn me lo fa completare e dice:
the avast!self protection module is enable.for this reason the operation cannot completed.to complete the operation either run this program from windows safe mode,or disable the avast!self protection(via setting troubleshooting page)
Anonimo ha detto... @ 01 maggio 2009 15:30: Grazie mille con il vostro aiuto non ho piu formattato!!!!!!!!!!
tra le mille procedure di rimozione che si possono trovare in rete questa è stata quella che che mi ha risolto il problema
Laura ha detto... @ 01 maggio 2009 16:51: Per il primo anonimo: devi entrare nelle impostazioni di avast,poi andare sulla voce Risoluzione Errori e deselezionare l'opzione "Disattiva modulo di auto-difesa avast!",dopodichè devi entrare in modalità provvisoria e disinstallarlo.
Per il secondo anonimo:sono contenta :)
Anonimo ha detto... @ 01 maggio 2009 21:36: grz laura...ho risolto il problema..grz ankora
Laura ha detto... @ 01 maggio 2009 21:38: Prego!
Anonimo ha detto... @ 12 maggio 2009 09:58: grazie mille dei tuoi consigli mi hai salvato da una formattazione che ho dovuto fare pochi giorni fa....
visto che sei cosi in gamba mi permetto di chiederti se è possibile ripristinare tutta la posta che ho perso su thunderbird....
mi ritrovo 11gb di file che non riesco a visionare o meglio.... mi fa vedere le cartelle create ma non la posta interna
Laura ha detto... @ 12 maggio 2009 12:52: ciao,qui trovi la soluzione al tuo problema di posta.
Ripristino/backup degli archivi di posta in Thunderbird
fammi sapere
Angelo ha detto... @ 12 maggio 2009 19:45: Ciao Laura, ti contatto perchè mi hai aiutato a rimuovere il maledetto bagle (ti avevo subito fatta santa).
Mi capita questo:
ho fatto la scansione con avira (più di una) e nei risultati vedo ancora delle voci con scritto bagle rootkit anche se il computer sembra andare abbastanza bene(apparte l'autorun del lettore cd che non riesco più a rispristinare)
Poi ho disinstallato avira e ho messo nod32 e facendo la scansione con questo non mi trova niente.
Nella paura di un eventuale residuo di bagle ho fatto anche una scansione con combofix e questo è il risultato del test:

ComboFix 09-05-11.08 - angelo 12/05/2009 18.05.38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1791.1248 [GMT 2:00]
Eseguito da: c:\documents and settings\angelo\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated)
FW: ZoneAlarm Firewall *enabled*

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\angelo\Dati applicazioni\inst.exe
c:\windows\system32\ARAudioCDGrabber2.dll
c:\windows\system32\ARAudioPlayer2.dll
c:\windows\system32\ARAudioTransform2.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-04-12 al 2009-05-12 )))))))))))))))))))))))))))))))))))
.

2009-05-10 17:11 . 2008-03-03 16:21 568 ---ha-w c:\windows\nod32fixtemdono.reg
2009-05-10 17:11 . 2008-03-03 12:25 5702 ---ha-w c:\windows\nod32restoretemdono.reg
2009-05-10 17:09 . 2009-05-10 17:09 -------- d-----w c:\programmi\ESET
2009-05-10 17:09 . 2009-05-10 17:09 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\ESET
2009-05-09 15:51 . 2009-05-09 15:52 -------- d-----w c:\programmi\Vuze
2009-05-08 16:33 . 2009-05-08 16:33 -------- d-sh--w c:\documents and settings\angelo\IECompatCache
2009-05-06 12:19 . 2009-05-06 12:19 -------- d-sh--w c:\documents and settings\angelo\PrivacIE
2009-05-06 12:17 . 2009-05-06 12:17 -------- d-sh--w c:\documents and settings\angelo\IETldCache
2009-05-06 12:15 . 2009-05-06 12:15 -------- d-----w c:\windows\ie8updates
2009-05-06 12:15 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll
2009-05-06 12:12 . 2009-05-06 12:15 -------- dc-h--w c:\windows\ie8
2009-04-23 16:24 . 2009-04-23 16:24 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\SlySoft
2009-04-23 16:10 . 2009-04-23 16:10 -------- d-----w c:\programmi\CloneCD
2009-04-20 21:11 . 2009-04-20 21:12 -------- d-----w c:\windows\system32\Zonelabs
2009-04-20 21:07 . 2009-05-02 13:42 -------- d-----w c:\programmi\Unlocker
2009-04-20 20:57 . 2009-04-20 20:57 -------- d-----w c:\programmi\Zone Labs
2009-04-20 00:11 . 2009-04-20 00:13 -------- d-----w c:\programmi\Spybot - Search & Destroy
2009-04-20 00:11 . 2009-05-11 18:33 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-04-20 00:05 . 2009-04-27 13:06 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-19 22:30 . 2009-04-19 22:57 -------- d-----w C:\FindyKill
2009-04-19 22:18 . 2009-04-19 22:21 -------- d-----w c:\documents and settings\angelo\.housecall6.6
2009-04-17 23:13 . 2009-04-17 23:13 -------- d-----w c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-04-17 22:49 . 2009-04-19 22:06 -------- d-----w C:\VEXPLITE
2009-04-17 18:26 . 2009-04-17 18:26 -------- d-----w c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\ESET
2009-04-15 08:45 . 2008-04-21 21:14 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-15 08:45 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 08:45 . 2009-03-06 14:19 286208 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 08:45 . 2009-02-09 11:22 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 08:45 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 08:45 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 08:45 . 2009-02-09 10:51 683520 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 08:45 . 2009-02-09 10:51 734720 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 08:45 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 08:45 . 2009-02-09 10:51 736256 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-14 13:13 . 2009-04-20 21:12 4212 ---ha-w c:\windows\system32\zllictbl.dat
2009-04-14 13:12 . 2009-05-12 16:07 -------- d-----w c:\windows\Internet Logs
2009-04-13 13:21 . 2009-04-23 09:23 -------- d-----w c:\programmi\eMule

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-10 22:59 . 2006-03-02 12:00 527828 ----a-w c:\windows\system32\perfh010.dat
2009-05-10 22:59 . 2006-03-02 12:00 101666 ----a-w c:\windows\system32\perfc010.dat
2009-05-10 09:09 . 2008-10-17 15:02 -------- d-----w c:\programmi\MH602HS Wizard
2009-05-08 23:36 . 2009-05-06 19:07 885986 ----a-w c:\windows\Internet Logs\tvDebug.Zip
2009-04-23 16:13 . 2009-04-23 16:12 24 --sh--w c:\windows\SDA0DC252.tmp
2009-04-22 17:37 . 2009-03-21 12:11 3766 --sha-w c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys
2009-04-20 11:40 . 2009-03-30 20:15 -------- d-----w c:\programmi\Pool 'm Up
2009-04-20 11:40 . 2008-09-25 17:29 -------- d-----w c:\programmi\Microsoft Visual Studio 8
2009-04-20 11:40 . 2008-09-07 13:41 -------- dcsh--w c:\programmi\File comuni\WindowsLiveInstaller
2009-04-20 11:40 . 2008-07-16 08:34 -------- d-----w c:\programmi\DivX
2009-04-20 11:40 . 2008-06-26 13:00 -------- d-----w c:\programmi\MSECache
2009-04-20 11:40 . 2008-03-18 21:11 -------- d-----w c:\programmi\File comuni\Nero
2009-04-20 11:40 . 2008-03-17 18:23 -------- d-----w c:\programmi\File comuni\MAGIX Shared
2009-04-20 11:40 . 2008-03-07 17:02 -------- d-----w c:\programmi\Google
2009-04-20 11:40 . 2008-03-06 23:59 -------- d--h--w c:\programmi\InstallShield Installation Information
2009-04-20 10:55 . 2008-04-03 14:00 -------- d-----w c:\programmi\CCleaner
2009-04-19 22:45 . 2009-03-13 18:08 -------- d-----w c:\programmi\DAEMON Tools Pro
2009-04-17 22:50 . 2009-02-23 16:54 696320 ----a-w c:\programmi\viritexp.ex_
2009-04-17 21:05 . 2009-04-20 21:12 1405440 ----a-w c:\windows\Internet Logs\xDB44.tmp
2009-04-10 15:27 . 2009-03-18 19:55 -------- d-----w c:\programmi\WebSite X5 Evolution
2009-04-08 10:15 . 2008-03-07 17:02 -------- d-----w c:\programmi\File comuni\Adobe
2009-04-03 17:48 . 2008-03-07 14:21 101664 ----a-w c:\documents and settings\angelo\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-04-02 18:12 . 2009-04-02 18:11 -------- d-----w c:\programmi\Microsoft Encarta
2009-04-02 10:11 . 2008-03-07 00:31 -------- d-----w C:\Programmi vari
2009-03-31 20:38 . 2009-03-31 20:30 -------- d-----w c:\programmi\MP3Gain
2009-03-31 20:28 . 2008-03-10 16:53 -------- d-----w c:\programmi\Java
2009-03-30 22:02 . 2009-03-30 20:15 -------- d-----w c:\programmi\Packard Bell
2009-03-30 21:44 . 2009-03-30 21:44 -------- d-----w c:\programmi\Glary Utilities
2009-03-30 20:15 . 2009-03-30 17:23 -------- d-----w c:\programmi\Startup Inspector for Windows
2009-03-30 20:15 . 2009-03-30 20:15 -------- d-----w c:\programmi\Windows X
2009-03-30 20:15 . 2009-03-30 20:15 -------- d-----w c:\programmi\Open office
2009-03-27 11:21 . 2008-04-06 15:40 -------- d-----w c:\programmi\Nero
2009-03-27 11:07 . 2009-03-26 16:53 -------- d-----w c:\programmi\DVDFab 5
2009-03-26 17:01 . 2008-04-06 16:16 47360 ----a-w c:\documents and settings\angelo\Dati applicazioni\pcouffin.sys
2009-03-25 16:52 . 2009-03-25 16:52 -------- d-----w c:\programmi\Doblon
2009-03-21 12:35 . 2008-03-17 15:40 -------- d-----w c:\programmi\Windows Media Bonus Pack for Windows XP
2009-03-21 12:12 . 2009-03-21 12:11 88 --sh--r c:\documents and settings\All Users\Dati applicazioni\5447E432A2.sys
2009-03-21 11:58 . 2009-03-17 23:55 -------- d-----w c:\programmi\QuickTime
2009-03-21 11:57 . 2009-03-21 11:57 -------- d-----w c:\programmi\Apple Software Update
2009-03-21 11:56 . 2009-03-21 11:56 -------- d-----w c:\programmi\File comuni\xing shared
2009-03-21 11:56 . 2008-08-20 17:07 -------- d-----w c:\programmi\File comuni\Real
2009-03-21 11:56 . 2009-03-21 11:56 -------- d-----w c:\programmi\Real
2009-03-21 11:54 . 2009-03-21 11:54 -------- d-----w c:\programmi\InterVideo
2009-03-21 11:54 . 2009-03-21 11:54 -------- d-----w c:\programmi\File comuni\Protexis
2009-03-21 11:54 . 2009-03-21 11:54 -------- d-----w c:\programmi\File comuni\InterVideo
2009-03-21 11:54 . 2009-03-21 11:54 -------- d-----w c:\programmi\Corel
2009-03-18 22:44 . 2009-03-18 22:44 -------- d-----w c:\programmi\ImTOO
2009-03-13 18:04 . 2008-03-09 15:30 685816 ----a-w c:\windows\system32\drivers\sptd.sys
2009-03-09 03:19 . 2008-12-15 00:49 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2006-03-02 12:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-03-02 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-03-02 12:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-03-02 12:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-03-02 12:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-03-02 12:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-03-02 12:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-03-02 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-03-02 12:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-03-02 12:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2006-03-02 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 18:42 . 2009-03-03 18:42 319488 ----a-w c:\windows\HideWin.exe
2009-02-15 22:10 . 2008-04-17 11:19 1221512 ----a-w c:\windows\system32\zpeng25.dll
2009-02-06 21:54 . 2009-02-06 21:54 0 ----a-w c:\programmi\codecpack.v.1.0.2021.exe
2009-02-06 21:53 . 2009-02-06 21:53 0 ----a-w c:\programmi\codecpack.v.1.0.202.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"E08IXLRD_6195062"="c:\programmi\Microsoft Encarta\Microsoft Encarta 2008 - Premium DVD\EDICT.EXE" [2007-06-12 351000]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-23 8433664]
"Apoint"="c:\programmi\Apoint2K\Apoint.exe" [2007-07-23 159744]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"CTCheck"="c:\programmi\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-23 81920]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2009-03-21 180269]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2006-09-01 282624]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-15 981384]
"UnlockerAssistant"="c:\programmi\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"CloneCDTray"="c:\programmi\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-07-23 1626112]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-23 16342528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\angelo\Menu Avvio\Programmi\Esecuzione automatica\AutorunsDisabled
Instant Memory Cleaner.lnk - c:\programmi\Vasilios Applications\Instant Memory Cleaner\Instant Memory Cleaner.exe [2008-10-20 1373409]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2008-6-11 113664]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"mW[íµ�ˆÖ¾`=µú¾˜v%S8’ÿÙêé>grl>�Ý\†Ð=ŸàÛ±Þ"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Documents and Settings\\angelo\\Impostazioni locali\\Dati applicazioni\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\angelo\\Impostazioni locali\\Dati applicazioni\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [07/03/2008 2.28.04 18208]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06/12/2005 17.11.18 35328]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [20/02/2008 11.11.16 33800]
R2 Autorun CDROM Monitor;Autorun CDROM Monitor;c:\windows\system32\SupportAppMH\cdrom_mon.exe [17/10/2008 17.02.17 81920]
R2 ekrn;Eset Service;c:\programmi\ESET\ESET NOD32 Antivirus\ekrn.exe [20/02/2008 11.08.46 472320]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17/04/2007 21.09.28 11032]
R3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\drivers\ONDAusbmdm6k.sys [17/10/2008 17.03.10 100352]
R3 ONDAusbnmea;ONDA NMEA Port;c:\windows\system32\drivers\ONDAusbnmea.sys [17/10/2008 17.03.10 100352]
R3 OxUSBTIMOUT_x32;OxUSBTIMOUT_x32;c:\windows\system32\drivers\OxUSBTIMOUT_x32.sys [07/06/2007 8.48.34 34152]
S0 xtgxor;xtgxor;c:\windows\system32\drivers\sflam.sys --> c:\windows\system32\drivers\sflam.sys [?]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [02/03/2006 14.00.00 3584]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/02/2009 19.28.39 1684736]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\DRIVERS\avgfwdx.sys --> c:\windows\system32\DRIVERS\avgfwdx.sys [?]
S3 bsusbser;PHD USB Device for Legacy Serial Communication;c:\windows\system32\drivers\bsusbser.sys [29/04/2008 14.13.31 94848]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programmi vari\Common\Database\bin\fbserver.exe [17/03/2008 20.23.44 1527900]
S3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\drivers\ONDAusbser6k.sys [17/10/2008 17.03.10 100352]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\drivers\OxUSBTIMOUT.sys [07/06/2007 8.48.34 34152]
S3 UPnPService;UPnPService;c:\programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe [17/03/2008 20.23.29 544768]
S3 ZD1211BU(SBS);BW254 Wireless USB Adapter Driver(SBS);c:\windows\system32\drivers\ZD1211BU.sys [02/03/2009 23.14.32 477696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f263b4e0-454a-11dd-811a-001dd9687cef}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-04-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]

2009-05-12 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2009-03-30 07:49]

2009-05-11 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-05-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-DAEMON Tools Pro Agent - c:\programmi\DAEMON Tools Pro\DTProAgent.exe
HKCU-Run-emykysi - c:\documents and settings\angelo\impostazioni locali\dati applicazioni\emykysi.exe
Notify-avgrsstarter - avgrsstx.dll

.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\angelo\Dati applicazioni\Mozilla\Firefox\Profiles\4k51o58d.default\
FF - prefs.js: browser.search.selectedEngine - DownloadHelper Adult Videos
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=
FF - plugin: c:\documents and settings\All Users\Dati applicazioni\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\documents and settings\angelo\Dati applicazioni\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\angelo\Impostazioni locali\Dati applicazioni\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin8.dll

---- FIREFOX POLICIES ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 18:08
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2008]
@DACL=
"ShortlistDir"=""
"Language"="Italian"
"LoadLangDB"=dword:00000001
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinID"=dword:00000001
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"WindowState"=dword:00000002
"WindowHeight"=dword:00000302
"WindowWidth"=dword:000003fc
"WindowLeft"=dword:00000082
"WindowTop"=dword:0000000f
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"Currency"=dword:00000056

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2008\Columns\Clubs]
"Position0"=dword:00000000
"Visible0"=dword:00000001
"Width0"=dword:0000007d
"Position1"=dword:00000001
"Visible1"=dword:00000001
"Width1"=dword:00000064
"Position2"=dword:00000002
"Visible2"=dword:00000001
"Width2"=dword:00000064
"Position3"=dword:00000003
"Visible3"=dword:00000001
"Width3"=dword:00000032
"Position4"=dword:00000004
"Visible4"=dword:00000001
"Width4"=dword:00000032
"Position5"=dword:00000005
"Visible5"=dword:00000001
"Width5"=dword:00000050
"Position6"=dword:00000006
"Visible6"=dword:00000001
"Width6"=dword:00000050
"Position7"=dword:00000007
"Visible7"=dword:00000001
"Width7"=dword:00000050
"Position8"=dword:00000008
"Visible8"=dword:00000000
"Width8"=dword:00000050
"Position9"=dword:00000009
"Visible9"=dword:00000000
"Width9"=dword:0000002d
"Position10"=dword:0000000a
"Visible10"=dword:00000000
"Width10"=dword:0000001e
"Position11"=dword:0000000b
"Visible11"=dword:00000000
"Width11"=dword:0000001e
"Position12"=dword:0000000c
"Visible12"=dword:00000000
"Width12"=dword:0000001e
"Position13"=dword:0000000d
"Visible13"=dword:00000001
"Width13"=dword:0000003c
"Position14"=dword:0000000e
"Visible14"=dword:00000000
"Width14"=dword:00000032
"Position15"=dword:0000000f
"Visible15"=dword:00000000
"Width15"=dword:00000032
"Position16"=dword:00000010
"Visible16"=dword:00000000
"Width16"=dword:00000032
"Position17"=dword:00000011
"Visible17"=dword:00000001
"Width17"=dword:00000050
"Position18"=dword:00000012
"Visible18"=dword:00000001
"Width18"=dword:00000050
"Position19"=dword:00000013
"Visible19"=dword:00000000
"Width19"=dword:00000050

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2008\Columns\Players]
"Position0"=dword:00000000
"Visible0"=dword:00000001
"Width0"=dword:0000007d
"Position1"=dword:00000001
"Visible1"=dword:00000001
"Width1"=dword:00000064
"Position2"=dword:00000002
"Visible2"=dword:00000001
"Width2"=dword:00000064
"Position3"=dword:00000003
"Visible3"=dword:00000001
"Width3"=dword:00000037
"Position4"=dword:00000008
"Visible4"=dword:00000001
"Width4"=dword:00000023
"Position5"=dword:00000009
"Visible5"=dword:00000001
"Width5"=dword:00000058
"Position6"=dword:0000000a
"Visible6"=dword:00000001
"Width6"=dword:0000007b
"Position7"=dword:0000000c
"Visible7"=dword:00000001
"Width7"=dword:0000004b
"Position8"=dword:0000000d
"Visible8"=dword:00000001
"Width8"=dword:00000086
"Position9"=dword:0000000e
"Visible9"=dword:00000001
"Width9"=dword:0000006e
"Position10"=dword:0000000f
"Visible10"=dword:00000000
"Width10"=dword:00000050
"Position11"=dword:00000010
"Visible11"=dword:00000000
"Width11"=dword:0000004b
"Position12"=dword:00000011
"Visible12"=dword:00000000
"Width12"=dword:0000002d
"Position13"=dword:00000012
"Visible13"=dword:00000000
"Width13"=dword:0000003c
"Position14"=dword:00000013
"Visible14"=dword:00000000
"Width14"=dword:0000004b
"Position15"=dword:00000014
"Visible15"=dword:00000000
"Width15"=dword:00000064
"Position16"=dword:00000015
"Visible16"=dword:00000000
"Width16"=dword:00000064
"Position17"=dword:00000016
"Visible17"=dword:00000000
"Width17"=dword:0000004b
"Position18"=dword:00000017
"Visible18"=dword:00000000
"Width18"=dword:00000064
"Position19"=dword:00000018
"Visible19"=dword:00000000
"Width19"=dword:0000003c
"Position20"=dword:00000019
"Visible20"=dword:00000000
"Width20"=dword:0000004b
"Position21"=dword:0000001a
"Visible21"=dword:00000000
"Width21"=dword:00000050
"Position22"=dword:0000001b
"Visible22"=dword:00000000
"Width22"=dword:00000073
"Position23"=dword:0000001c
"Visible23"=dword:00000000
"Width23"=dword:00000050
"Position24"=dword:0000001d
"Visible24"=dword:00000000
"Width24"=dword:0000005a
"Position25"=dword:0000001e
"Visible25"=dword:00000000
"Width25"=dword:0000006e
"Position26"=dword:0000001f
"Visible26"=dword:00000000
"Width26"=dword:00000064
"Position27"=dword:00000020
"Visible27"=dword:00000000
"Width27"=dword:00000087
"Position28"=dword:00000021
"Visible28"=dword:00000000
"Width28"=dword:00000064
"Position29"=dword:00000022
"Visible29"=dword:00000000
"Width29"=dword:00000064
"Position30"=dword:00000023
"Visible30"=dword:00000000
"Width30"=dword:00000046
"Position31"=dword:00000024
"Visible31"=dword:00000000
"Width31"=dword:0000004b
"Position32"=dword:00000025
"Visible32"=dword:00000000
"Width32"=dword:00000046
"Position33"=dword:00000026
"Visible33"=dword:00000000
"Width33"=dword:0000004b
"Position34"=dword:00000027
"Visible34"=dword:00000000
"Width34"=dword:0000003c
"Position35"=dword:00000028
"Visible35"=dword:00000000
"Width35"=dword:00000064
"Position36"=dword:00000029
"Visible36"=dword:00000000
"Width36"=dword:00000073
"Position37"=dword:0000002a
"Visible37"=dword:00000000
"Width37"=dword:0000005f
"Position38"=dword:0000002b
"Visible38"=dword:00000000
"Width38"=dword:00000091
"Position39"=dword:0000002c
"Visible39"=dword:00000000
"Width39"=dword:0000003c
"Position40"=dword:0000002d
"Visible40"=dword:00000000
"Width40"=dword:0000005a
"Position41"=dword:0000002e
"Visible41"=dword:00000000
"Width41"=dword:00000041
"Position42"=dword:0000002f
"Visible42"=dword:00000000
"Width42"=dword:00000050
"Position43"=dword:00000030
"Visible43"=dword:00000000
"Width43"=dword:00000055
"Position44"=dword:00000031
"Visible44"=dword:00000000
"Width44"=dword:0000005f
"Position45"=dword:00000032
"Visible45"=dword:00000000
"Width45"=dword:00000050
"Position46"=dword:00000033
"Visible46"=dword:00000000
"Width46"=dword:0000004b
"Position47"=dword:00000034
"Visible47"=dword:00000000
"Width47"=dword:0000004b
"Position48"=dword:00000035
"Visible48"=dword:00000000
"Width48"=dword:00000046
"Position49"=dword:00000036
"Visible49"=dword:00000000
"Width49"=dword:00000032
"Position50"=dword:00000037
"Visible50"=dword:00000000
"Width50"=dword:0000003c
"Position51"=dword:00000038
"Visible51"=dword:00000000
"Width51"=dword:0000004b
"Position52"=dword:00000039
"Visible52"=dword:00000000
"Width52"=dword:0000003c
"Position53"=dword:0000003a
"Visible53"=dword:00000000
"Width53"=dword:00000037
"Position54"=dword:0000003b
"Visible54"=dword:00000000
"Width54"=dword:00000069
"Position55"=dword:0000003c
"Visible55"=dword:00000000
"Width55"=dword:0000005a
"Position56"=dword:0000003d
"Visible56"=dword:00000000
"Width56"=dword:0000004b
"Position57"=dword:0000003e
"Visible57"=dword:00000000
"Width57"=dword:0000004b
"Position58"=dword:0000003f
"Visible58"=dword:00000000
"Width58"=dword:00000037
"Position59"=dword:00000040
"Visible59"=dword:00000000
"Width59"=dword:0000003c
"Position60"=dword:00000041
"Visible60"=dword:00000000
"Width60"=dword:0000003c
"Position61"=dword:00000042
"Visible61"=dword:00000000
"Width61"=dword:00000041
"Position62"=dword:00000043
"Visible62"=dword:00000000
"Width62"=dword:00000055
"Position63"=dword:00000044
"Visible63"=dword:00000000
"Width63"=dword:0000003c
"Position64"=dword:00000045
"Visible64"=dword:00000000
"Width64"=dword:0000003c
"Position65"=dword:00000046
"Visible65"=dword:00000000
"Width65"=dword:0000004b
"Position66"=dword:00000047
"Visible66"=dword:00000000
"Width66"=dword:0000003c
"Position67"=dword:00000048
"Visible67"=dword:00000000
"Width67"=dword:00000046
"Position68"=dword:00000049
"Visible68"=dword:00000000
"Width68"=dword:00000028
"Position69"=dword:0000004a
"Visible69"=dword:00000000
"Width69"=dword:00000041
"Position70"=dword:0000004b
"Visible70"=dword:00000000
"Width70"=dword:0000003c
"Position71"=dword:0000004c
"Visible71"=dword:00000000
"Width71"=dword:00000069
"Position72"=dword:0000004d
"Visible72"=dword:00000000
"Width72"=dword:00000041
"Position73"=dword:0000004e
"Visible73"=dword:00000000
"Width73"=dword:0000005f
"Position74"=dword:0000004f
"Visible74"=dword:00000000
"Width74"=dword:0000003c
"Position75"=dword:00000050
"Visible75"=dword:00000000
"Width75"=dword:00000037
"Position76"=dword:00000051
"Visible76"=dword:00000000
"Width76"=dword:0000004b
"Position77"=dword:00000052
"Visible77"=dword:00000000
"Width77"=dword:00000050
"Position78"=dword:00000053
"Visible78"=dword:00000000
"Width78"=dword:00000037
"Position79"=dword:00000054
"Visible79"=dword:00000000
"Width79"=dword:00000037
"Position80"=dword:00000055
"Visible80"=dword:00000000
"Width80"=dword:0000005a
"Position81"=dword:00000056
"Visible81"=dword:00000000
"Width81"=dword:0000004b
"Position82"=dword:00000057
"Visible82"=dword:00000000
"Width82"=dword:00000055
"Position83"=dword:00000058
"Visible83"=dword:00000000
"Width83"=dword:0000002d
"Position84"=dword:00000059
"Visible84"=dword:00000000
"Width84"=dword:00000037
"Position85"=dword:0000005a
"Visible85"=dword:00000000
"Width85"=dword:0000003c
"Position86"=dword:0000005b
"Visible86"=dword:00000000
"Width86"=dword:00000046
"Position87"=dword:0000005c
"Visible87"=dword:00000000
"Width87"=dword:0000003c
"Position88"=dword:0000005d
"Visible88"=dword:00000000
"Width88"=dword:0000005a
"Position89"=dword:0000005e
"Visible89"=dword:00000000
"Width89"=dword:0000003c
"Position90"=dword:0000005f
"Visible90"=dword:00000000
"Width90"=dword:00000050
"Position91"=dword:00000060
"Visible91"=dword:00000000
"Width91"=dword:00000046
"Position92"=dword:00000061
"Visible92"=dword:00000000
"Width92"=dword:0000005a
"Position93"=dword:00000062
"Visible93"=dword:00000000
"Width93"=dword:00000037
"Position94"=dword:00000063
"Visible94"=dword:00000000
"Width94"=dword:0000003c
"Position95"=dword:00000064
"Visible95"=dword:00000000
"Width95"=dword:0000003c
"Position96"=dword:00000065
"Visible96"=dword:00000000
"Width96"=dword:00000046
"Position97"=dword:00000066
"Visible97"=dword:00000000
"Width97"=dword:00000046
"Position98"=dword:00000067
"Visible98"=dword:00000000
"Width98"=dword:00000055
"Position99"=dword:00000068
"Visible99"=dword:00000000
"Width99"=dword:00000073
"Position100"=dword:00000069
"Visible100"=dword:00000000
"Width100"=dword:00000041
"Position101"=dword:0000006a
"Visible101"=dword:00000000
"Width101"=dword:0000003c
"Position102"=dword:0000006b
"Visible102"=dword:00000000
"Width102"=dword:0000003c
"Position103"=dword:0000006c
"Visible103"=dword:00000000
"Width103"=dword:00000046
"Position104"=dword:0000006d
"Visible104"=dword:00000000
"Width104"=dword:0000003c
"Position105"=dword:0000006e
"Visible105"=dword:00000000
"Width105"=dword:00000041
"Position106"=dword:0000006f
"Visible106"=dword:00000001
"Width106"=dword:00000068
"Position107"=dword:0000000b
"Visible107"=dword:00000001
"Width107"=dword:00000070
"Position108"=dword:00000070
"Visible108"=dword:00000000
"Width108"=dword:00000050
"Position109"=dword:00000071
"Visible109"=dword:00000000
"Width109"=dword:00000050
"Position110"=dword:00000072
"Visible110"=dword:00000000
"Width110"=dword:00000055
"Position111"=dword:00000073
"Visible111"=dword:00000000
"Width111"=dword:00000082
"Position112"=dword:00000074
"Visible112"=dword:00000000
"Width112"=dword:00000087
"Position113"=dword:00000075
"Visible113"=dword:00000000
"Width113"=dword:0000000a
"Position114"=dword:00000076
"Visible114"=dword:00000000
"Width114"=dword:0000000a
"Position115"=dword:00000077
"Visible115"=dword:00000000
"Width115"=dword:00000072
"Position116"=dword:00000078
"Visible116"=dword:00000000
"Width116"=dword:0000000a
"Position117"=dword:00000079
"Visible117"=dword:00000000
"Width117"=dword:0000000a
"Position118"=dword:0000007a
"Visible118"=dword:00000000
"Width118"=dword:0000000a
"Position119"=dword:0000007b
"Visible119"=dword:00000000
"Width119"=dword:0000000a
"Position120"=dword:0000007c
"Visible120"=dword:00000000
"Width120"=dword:0000000a
"Position121"=dword:0000007d
"Visible121"=dword:00000000
"Width121"=dword:0000000a
"Position122"=dword:0000007e
"Visible122"=dword:00000000
"Width122"=dword:0000000a
"Position123"=dword:0000007f
"Visible123"=dword:00000000
"Width123"=dword:0000000a
"Position124"=dword:00000080
"Visible124"=dword:00000000
"Width124"=dword:0000000a
"Position125"=dword:00000081
"Visible125"=dword:00000000
"Width125"=dword:0000000a
"Position126"=dword:00000082
"Visible126"=dword:00000000
"Width126"=dword:0000000a
"Position127"=dword:00000083
"Visible127"=dword:00000000
"Width127"=dword:0000000a
"Position128"=dword:00000084
"Visible128"=dword:00000000
"Width128"=dword:0000000a
"Position129"=dword:00000085
"Visible129"=dword:00000000
"Width129"=dword:0000000a
"Position130"=dword:00000086
"Visible130"=dword:00000000
"Width130"=dword:0000000a
"Position131"=dword:00000087
"Visible131"=dword:00000000
"Width131"=dword:0000000a
"Position132"=dword:00000088
"Visible132"=dword:00000000
"Width132"=dword:0000000a
"Position133"=dword:00000089
"Visible133"=dword:00000000
"Width133"=dword:0000000a
"Position134"=dword:0000008a
"Visible134"=dword:00000000
"Width134"=dword:0000000a
"Position135"=dword:0000008b
"Visible135"=dword:00000000
"Width135"=dword:0000000a
"Position136"=dword:0000008c
"Visible136"=dword:00000000
"Width136"=dword:0000000a
"Position137"=dword:0000008d
"Visible137"=dword:00000000
"Width137"=dword:0000000a
"Position138"=dword:0000008e
"Visible138"=dword:00000000
"Width138"=dword:0000000a
"Position139"=dword:0000008f
"Visible139"=dword:00000000
"Width139"=dword:0000000a
"Position140"=dword:00000090
"Visible140"=dword:00000000
"Width140"=dword:0000000a
"Position141"=dword:00000091
"Visible141"=dword:00000000
"Width141"=dword:0000000a
"Position142"=dword:00000092
"Visible142"=dword:00000000
"Width142"=dword:0000000a
"Position143"=dword:00000093
"Visible143"=dword:00000000
"Width143"=dword:0000000a
"Position144"=dword:00000094
"Visible144"=dword:00000000
"Width144"=dword:0000000a
"Position145"=dword:00000095
"Visible145"=dword:00000000
"Width145"=dword:00000050
"Position146"=dword:00000004
"Visible146"=dword:00000000
"Width146"=dword:00000037
"Position147"=dword:00000005
"Visible147"=dword:00000000
"Width147"=dword:00000028
"Position148"=dword:00000006
"Visible148"=dword:00000000
"Width148"=dword:00000037
"Position149"=dword:00000007
"Visible149"=dword:00000001
"Width149"=dword:00000043

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2008\Columns\Staff]
"Position0"=dword:00000000
"Visible0"=dword:00000001
"Width0"=dword:0000007d
"Position1"=dword:00000001
"Visible1"=dword:00000001
"Width1"=dword:00000064
"Position2"=dword:00000002
"Visible2"=dword:00000001
"Width2"=dword:00000064
"Position3"=dword:00000003
"Visible3"=dword:00000001
"Width3"=dword:00000069
"Position4"=dword:00000005
"Visible4"=dword:00000001
"Width4"=dword:00000028
"Position5"=dword:00000006
"Visible5"=dword:00000001
"Width5"=dword:00000028
"Position6"=dword:00000004
"Visible6"=dword:00000001
"Width6"=dword:00000028
"Position7"=dword:00000007
"Visible7"=dword:00000001
"Width7"=dword:00000050
"Position8"=dword:00000008
"Visible8"=dword:00000000
"Width8"=dword:00000050
"Position9"=dword:00000009
"Visible9"=dword:00000000
"Width9"=dword:0000004b
"Position10"=dword:0000000a
"Visible10"=dword:00000000
"Width10"=dword:0000002d
"Position11"=dword:0000000b
"Visible11"=dword:00000000
"Width11"=dword:0000003c
"Position12"=dword:0000000c
"Visible12"=dword:00000000
"Width12"=dword:0000004b
"Position13"=dword:0000000d
"Visible13"=dword:00000000
"Width13"=dword:00000064
"Position14"=dword:0000000e
"Visible14"=dword:00000000
"Width14"=dword:00000064
"Position15"=dword:0000000f
"Visible15"=dword:00000000
"Width15"=dword:0000004b
"Position16"=dword:00000010
"Visible16"=dword:00000000
"Width16"=dword:00000064
"Position17"=dword:00000011
"Visible17"=dword:00000000
"Width17"=dword:0000003c
"Position18"=dword:00000012
"Visible18"=dword:00000000
"Width18"=dword:0000004b
"Position19"=dword:00000013
"Visible19"=dword:00000000
"Width19"=dword:00000050
"Position20"=dword:00000014
"Visible20"=dword:00000000
"Width20"=dword:00000046
"Position21"=dword:00000015
"Visible21"=dword:00000000
"Width21"=dword:0000004b
"Position22"=dword:00000016
"Visible22"=dword:00000000
"Width22"=dword:00000046
"Position23"=dword:00000017
"Visible23"=dword:00000000
"Width23"=dword:00000046
"Position24"=dword:00000018
"Visible24"=dword:00000000
"Width24"=dword:0000003c
"Position25"=dword:00000019
"Visible25"=dword:00000000
"Width25"=dword:00000041
"Position26"=dword:0000001a
"Visible26"=dword:00000000
"Width26"=dword:0000003c
"Position27"=dword:0000001b
"Visible27"=dword:00000000
"Width27"=dword:00000055
"Position28"=dword:0000001c
"Visible28"=dword:00000000
"Width28"=dword:00000069
"Position29"=dword:0000001d
"Visible29"=dword:00000000
"Width29"=dword:0000006e
"Position30"=dword:0000001e
"Visible30"=dword:00000000
"Width30"=dword:00000064
"Position31"=dword:0000001f
"Visible31"=dword:00000000
"Width31"=dword:00000078
"Position32"=dword:00000020
"Visible32"=dword:00000000
"Width32"=dword:00000064
"Position33"=dword:00000021
"Visible33"=dword:00000000
"Width33"=dword:00000087
"Position34"=dword:00000022
"Visible34"=dword:00000000
"Width34"=dword:00000069
"Position35"=dword:00000023
"Visible35"=dword:00000000
"Width35"=dword:0000006e
"Position36"=dword:00000024
"Visible36"=dword:00000000
"Width36"=dword:00000073
"Position37"=dword:00000025
"Visible37"=dword:00000000
"Width37"=dword:0000004b
"Position38"=dword:00000026
"Visible38"=dword:00000000
"Width38"=dword:0000002d
"Position39"=dword:00000027
"Visible39"=dword:00000000
"Width39"=dword:00000055
"Position40"=dword:00000028
"Visible40"=dword:00000000
"Width40"=dword:00000046
"Position41"=dword:00000029
"Visible41"=dword:00000000
"Width41"=dword:0000004b
"Position42"=dword:0000002a
"Visible42"=dword:00000000
"Width42"=dword:0000003c
"Position43"=dword:0000002b
"Visible43"=dword:00000000
"Width43"=dword:00000046
"Position44"=dword:0000002c
"Visible44"=dword:00000000
"Width44"=dword:00000073
"Position45"=dword:0000002d
"Visible45"=dword:00000000
"Width45"=dword:0000004b
"Position46"=dword:0000002e
"Visible46"=dword:00000000
"Width46"=dword:00000073
"Position47"=dword:0000002f
"Visible47"=dword:00000000
"Width47"=dword:0000007d
"Position48"=dword:00000030
"Visible48"=dword:00000000
"Width48"=dword:0000006e
"Position49"=dword:00000031
"Visible49"=dword:00000000
"Width49"=dword:00000037
"Position50"=dword:00000032
"Visible50"=dword:00000000
"Width50"=dword:00000064
"Position51"=dword:00000033
"Visible51"=dword:00000000
"Width51"=dword:00000037
"Position52"=dword:00000034
"Visible52"=dword:00000000
"Width52"=dword:0000004b
"Position53"=dword:00000035
"Visible53"=dword:00000000
"Width53"=dword:00000046
"Position54"=dword:00000036
"Visible54"=dword:00000000
"Width54"=dword:00000037
"Position55"=dword:00000037
"Visible55"=dword:00000000
"Width55"=dword:0000003c
"Position56"=dword:00000038
"Visible56"=dword:00000000
"Width56"=dword:00000055
"Position57"=dword:00000039
"Visible57"=dword:00000000
"Width57"=dword:0000003c
"Position58"=dword:0000003a
"Visible58"=dword:00000000
"Width58"=dword:0000003c
"Position59"=dword:0000003b
"Visible59"=dword:00000000
"Width59"=dword:00000055
"Position60"=dword:0000003c
"Visible60"=dword:00000000
"Width60"=dword:00000046
"Position61"=dword:0000003d
"Visible61"=dword:00000000
"Width61"=dword:0000004b
"Position62"=dword:0000003e
"Visible62"=dword:00000000
"Width62"=dword:00000055
"Position63"=dword:0000003f
"Visible63"=dword:00000000
"Width63"=dword:0000005a
"Position64"=dword:00000040
"Visible64"=dword:00000000
"Width64"=dword:0000006e
"Position65"=dword:00000041
"Visible65"=dword:00000000
"Width65"=dword:00000050
"Position66"=dword:00000042
"Visible66"=dword:00000000
"Width66"=dword:00000032
"Position67"=dword:00000043
"Visible67"=dword:00000000
"Width67"=dword:00000064
"Position68"=dword:00000044
"Visible68"=dword:00000000
"Width68"=dword:0000004b
"Position69"=dword:00000045
"Visible69"=dword:00000000
"Width69"=dword:0000002d
"Position70"=dword:00000046
"Visible70"=dword:00000000
"Width70"=dword:0000004b
"Position71"=dword:00000047
"Visible71"=dword:00000000
"Width71"=dword:0000005a
"Position72"=dword:00000048
"Visible72"=dword:00000000
"Width72"=dword:0000005a
"Position73"=dword:00000049
"Visible73"=dword:00000000
"Width73"=dword:00000050
"Position74"=dword:0000004a
"Visible74"=dword:00000000
"Width74"=dword:0000004b
"Position75"=dword:0000004b
"Visible75"=dword:00000000
"Width75"=dword:00000050
"Position76"=dword:0000004c
"Visible76"=dword:00000000
"Width76"=dword:0000005a
"Position77"=dword:0000004d
"Visible77"=dword:00000000
"Width77"=dword:00000041
"Position78"=dword:0000004e
"Visible78"=dword:00000000
"Width78"=dword:00000041
"Position79"=dword:0000004f
"Visible79"=dword:00000000
"Width79"=dword:00000041
"Position80"=dword:00000050
"Visible80"=dword:00000000
"Width80"=dword:00000041
"Position81"=dword:00000051
"Visible81"=dword:00000000
"Width81"=dword:00000041
"Position82"=dword:00000052
"Visible82"=dword:00000000
"Width82"=dword:00000041
"Position83"=dword:00000053
"Visible83"=dword:00000000
"Width83"=dword:00000041
"Position84"=dword:00000054
"Visible84"=dword:00000000
"Width84"=dword:00000041
"Position85"=dword:00000055
"Visible85"=dword:00000000
"Width85"=dword:00000041
"Position86"=dword:00000056
"Visible86"=dword:00000000
"Width86"=dword:00000050

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2008\Rating Coefficients]
"GKWeightCoef"=dword:00000064
"GKCurrentAbilityCoef"=dword:00000000
"GKCornersCoef"=dword:00000000
"GKCrossingCoef"=dword:00000000
"GKDribblingCoef"=dword:00000000
"GKFinishingCoef"=dword:00000000
"GKFirstTouchCoef"=dword:00000000
"GKFreeKicksCoef"=dword:00000000
"GKHeadingCoef"=dword:00000000
"GKLongShotsCoef"=dword:00000000
"GKLongThrowsCoef"=dword:00000000
"GKMarkingCoef"=dword:00000000
"GKPassingCoef"=dword:00000000
"GKPenaltiesCoef"=dword:00000000
"GKTacklingCoef"=dword:00000005
"GKTechniqueCoef"=dword:00000000
"GKLeftFootCoef"=dword:00000000
"GKRightFootCoef"=dword:00000000
"GKAggressionCoef"=dword:0000000a
"GKAnticipationCoef"=dword:00000005
"GKBraveryCoef"=dword:00000014
"GKComposureCoef"=dword:00000014
"GKConcentrationCoef"=dword:0000000a
"GKConsistencyCoef"=dword:0000000a
"GKCreativityCoef"=dword:00000000
"GKDecisionsCoef"=dword:00000014
"GKDeterminationCoef"=dword:0000000a
"GKDirtinessCoef"=dword:fffffffb
"GKFlairCoef"=dword:00000000
"GKImportantMatchesCoef"=dword:0000000a
"GKInfluenceCoef"=dword:0000000a
"GKOffTheBallCoef"=dword:00000000
"GKPositioningCoef"=dword:00000050
"GKTeamworkCoef"=dword:00000005
"GKWorkRateCoef"=dword:00000000
"GKAccelerationCoef"=dword:00000005
"GKAgilityCoef"=dword:0000000a
"GKBalanceCoef"=dword:0000000a
"GKInjuryPronenessCoef"=dword:fffffffb
"GKJumpingCoef"=dword:00000050
"GKNaturalFitnessCoef"=dword:00000005
"GKPaceCoef"=dword:00000000
"GKStaminaCoef"=dword:00000000
"GKStrengthCoef"=dword:0000000a
"GKVersatilityCoef"=dword:00000000
"GKAerialAbilityCoef"=dword:00000032
"GKCommandOfAreaCoef"=dword:00000014
"GKCommunicationCoef"=dword:00000032
"GKEccentricityCoef"=dword:ffffffec
"GKHandlingCoef"=dword:00000064
"GKKickingCoef"=dword:0000000a
"GKOneOnOnesCoef"=dword:00000032
"GKReflexesCoef"=dword:00000064
"GKRushingOutCoef"=dword:00000014
"GKTendencyToPunchCoef"=dword:fffffff6
"GKThrowingCoef"=dword:0000000a
"GKAdaptabilityCoef"=dword:00000005
"GKAmbitionCoef"=dword:0000000a
"GKControversyCoef"=dword:fffffffb
"GKLoyalityCoef"=dword:00000005
"GKPressureCoef"=dword:00000005
"GKProfessionalismCoef"=dword:00000005
"GKSportsmanshipCoef"=dword:00000005
"GKTemperamentCoef"=dword:00000005
"SWWeightCoef"=dword:00000066
"SWCurrentAbilityCoef"=dword:00000000
"SWCornersCoef"=dword:00000000
"SWCrossingCoef"=dword:00000000
"SWDribblingCoef"=dword:00000000
"SWFinishingCoef"=dword:00000000
"SWFirstTouchCoef"=dword:00000014
"SWFreeKicksCoef"=dword:0000000a
"SWHeadingCoef"=dword:00000064
"SWLongShotsCoef"=dword:0000000a
"SWLongThrowsCoef"=dword:00000000
"SWMarkingCoef"=dword:00000064
"SWPassingCoef"=dword:0000000a
"SWPenaltiesCoef"=dword:00000005
"SWTacklingCoef"=dword:00000064
"SWTechniqueCoef"=dword:0000000a
"SWLeftFootCoef"=dword:00000005
"SWRightFootCoef"=dword:00000005
"SWAggressionCoef"=dword:00000014
"SWAnticipationCoef"=dword:00000014
"SWBraveryCoef"=dword:00000028
"SWComposureCoef"=dword:00000028
"SWConcentrationCoef"=dword:0000003c
"SWConsistencyCoef"=dword:0000000a
"SWCreativityCoef"=dword:0000000a
"SWDecisionsCoef"=dword:00000014
"SWDeterminationCoef"=dword:0000000a
"SWDirtinessCoef"=dword:ffffffe7
"SWFlairCoef"=dword:00000000
"SWImportantMatchesCoef"=dword:0000000a
"SWInfluenceCoef"=dword:0000000a
"SWOffTheBallCoef"=dword:0000000a
"SWPositioningCoef"=dword:00000064
"SWTeamworkCoef"=dword:00000028
"SWWorkRateCoef"=dword:00000014
"SWAccelerationCoef"=dword:0000001e
"SWAgilityCoef"=dword:0000000a
"SWBalanceCoef"=dword:00000014
"SWInjuryPronenessCoef"=dword:fffffffb
"SWJumpingCoef"=dword:00000064
"SWNaturalFitnessCoef"=dword:00000005
"SWPaceCoef"=dword:00000014
"SWStaminaCoef"=dword:0000000a
"SWStrengthCoef"=dword:00000050
"SWVersatilityCoef"=dword:00000005
"SWAerialAbilityCoef"=dword:00000000
"SWCommandOfAreaCoef"=dword:00000000
"SWCommunicationCoef"=dword:00000000
"SWEccentricityCoef"=dword:00000000
"SWHandlingCoef"=dword:00000000
"SWKickingCoef"=dword:00000000
"SWOneOnOnesCoef"=dword:00000005
"SWReflexesCoef"=dword:00000005
"SWRushingOutCoef"=dword:00000000
"SWTendencyToPunchCoef"=dword:00000000
"SWThrowingCoef"=dword:00000000
"SWAdaptabilityCoef"=dword:00000005
"SWAmbitionCoef"=dword:0000000a
"SWControversyCoef"=dword:fffffffb
"SWLoyalityCoef"=dword:00000005
"SWPressureCoef"=dword:00000005
"SWProfessionalismCoef"=dword:00000005
"SWSportsmanshipCoef"=dword:00000005
"SWTemperamentCoef"=dword:00000005
"CBWeightCoef"=dword:00000064
"CBCurrentAbilityCoef"=dword:00000000
"CBCornersCoef"=dword:00000000
"CBCrossingCoef"=dword:00000000
"CBDribblingCoef"=dword:00000000
"CBFinishingCoef"=dword:00000000
"CBFirstTouchCoef"=dword:00000014
"CBFreeKicksCoef"=dword:0000000a
"CBHeadingCoef"=dword:00000064
"CBLongShotsCoef"=dword:0000000a
"CBLongThrowsCoef"=dword:00000000
"CBMarkingCoef"=dword:00000050
"CBPassingCoef"=dword:00000014
"CBPenaltiesCoef"=dword:00000005
"CBTacklingCoef"=dword:00000064
"CBTechniqueCoef"=dword:0000000a
"CBLeftFootCoef"=dword:00000005
"CBRightFootCoef"=dword:00000005
"CBAggressionCoef"=dword:00000014
"CBAnticipationCoef"=dword:00000014
"CBBraveryCoef"=dword:00000028
"CBComposureCoef"=dword:00000014
"CBConcentrationCoef"=dword:00000028
"CBConsistencyCoef"=dword:0000000a
"CBCreativityCoef"=dword:0000000a
"CBDecisionsCoef"=dword:00000014
"CBDeterminationCoef"=dword:0000000a
"CBDirtinessCoef"=dword:ffffffec
"CBFlairCoef"=dword:00000000
"CBImportantMatchesCoef"=dword:0000000a
"CBInfluenceCoef"=dword:0000000a
"CBOffTheBallCoef"=dword:0000000a
"CBPositioningCoef"=dword:00000050
"CBTeamworkCoef"=dword:00000028
"CBWorkRateCoef"=dword:00000014
"CBAccelerationCoef"=dword:00000028
"CBAgilityCoef"=dword:0000000a
"CBBalanceCoef"=dword:00000014
"CBInjuryPronenessCoef"=dword:fffffffb
"CBJumpingCoef"=dword:00000064
"CBNaturalFitnessCoef"=dword:00000005
"CBPaceCoef"=dword:0000001e
"CBStaminaCoef"=dword:0000000a
"CBStrengthCoef"=dword:0000003c
"CBVersatilityCoef"=dword:00000005
"CBAerialAbilityCoef"=dword:00000000
"CBCommandOfAreaCoef"=dword:00000000
"CBCommunicationCoef"=dword:00000000
"CBEccentricityCoef"=dword:00000000
"CBHandlingCoef"=dword:00000000
"CBKickingCoef"=dword:00000000
"CBOneOnOnesCoef"=dword:00000005
"CBReflexesCoef"=dword:00000005
"CBRushingOutCoef"=dword:00000000
"CBTendencyToPunchCoef"=dword:00000000
"CBThrowingCoef"=dword:00000000
"CBAdaptabilityCoef"=dword:00000005
"CBAmbitionCoef"=dword:0000000a
"CBControversyCoef"=dword:fffffffb
"CBLoyalityCoef"=dword:00000005
"CBPressureCoef"=dword:00000005
"CBProfessionalismCoef"=dword:00000005
"CBSportsmanshipCoef"=dword:00000005
"CBTemperamentCoef"=dword:00000005
"FBWeightCoef"=dword:00000069
"FBCurrentAbilityCoef"=dword:00000000
"FBCornersCoef"=dword:0000000a
"FBCrossingCoef"=dword:0000001e
"FBDribblingCoef"=dword:00000014
"FBFinishingCoef"=dword:00000000
"FBFirstTouchCoef"=dword:00000014
"FBFreeKicksCoef"=dword:0000000a
"FBHeadingCoef"=dword:0000003c
"FBLongShotsCoef"=dword:0000000a
"FBLongThrowsCoef"=dword:0000000a
"FBMarkingCoef"=dword:0000003c
"FBPassingCoef"=dword:0000001e
"FBPenaltiesCoef"=dword:00000005
"FBTacklingCoef"=dword:00000064
"FBTechniqueCoef"=dword:00000014
"FBLeftFootCoef"=dword:00000005
"FBRightFootCoef"=dword:00000005
"FBAggressionCoef"=dword:0000000f
"FBAnticipationCoef"=dword:00000050
"FBBraveryCoef"=dword:00000014
"FBComposureCoef"=dword:0000000a
"FBConcentrationCoef"=dword:0000001e
"FBConsistencyCoef"=dword:0000000a
"FBCreativityCoef"=dword:0000000a
"FBDecisionsCoef"=dword:00000014
"FBDeterminationCoef"=dword:0000000a
"FBDirtinessCoef"=dword:fffffff6
"FBFlairCoef"=dword:00000005
"FBImportantMatchesCoef"=dword:0000000a
"FBInfluenceCoef"=dword:0000000a
"FBOffTheBallCoef"=dword:00000014
"FBPositioningCoef"=dword:00000064
"FBTeamworkCoef"=dword:00000014
"FBWorkRateCoef"=dword:00000014
"FBAccelerationCoef"=dword:0000003c
"FBAgilityCoef"=dword:0000000a
"FBBalanceCoef"=dword:00000014
"FBInjuryPronenessCoef"=dword:fffffffb
"FBJumpingCoef"=dword:0000003c
"FBNaturalFitnessCoef"=dword:00000005
"FBPaceCoef"=dword:00000050
"FBStaminaCoef"=dword:0000003c
"FBStrengthCoef"=dword:00000028
"FBVersatilityCoef"=dword:00000005
"FBAerialAbilityCoef"=dword:00000000
"FBCommandOfAreaCoef"=dword:00000000
"FBCommunicationCoef"=dword:00000000
"FBEccentricityCoef"=dword:00000000
"FBHandlingCoef"=dword:00000000
"FBKickingCoef"=dword:00000000
"FBOneOnOnesCoef"=dword:00000005
"FBReflexesCoef"=dword:00000005
"FBRushingOutCoef"=dword:00000000
"FBTendencyToPunchCoef"=dword:00000000
"FBThrowingCoef"=dword:00000000
"FBAdaptabilityCoef"=dword:00000005
"FBAmbitionCoef"=dword:0000000a
"FBControversyCoef"=dword:fffffffb
"FBLoyalityCoef"=dword:00000005
"FBPressureCoef"=dword:00000005
"FBProfessionalismCoef"=dword:00000005
"FBSportsmanshipCoef"=dword:00000005
"FBTemperamentCoef"=dword:00000005
"WBWeightCoef"=dword:0000006c
"WBCurrentAbilityCoef"=dword:00000000
"WBCornersCoef"=dword:0000000a
"WBCrossingCoef"=dword:0000003c
"WBDribblingCoef"=dword:00000028
"WBFinishingCoef"=dword:0000000a
"WBFirstTouchCoef"=dword:00000014
"WBFreeKicksCoef"=dword:0000000a
"WBHeadingCoef"=dword:00000028
"WBLongShotsCoef"=dword:00000014
"WBLongThrowsCoef"=dword:0000000a
"WBMarkingCoef"=dword:0000003c
"WBPassingCoef"=dword:00000028
"WBPenaltiesCoef"=dword:00000005
"WBTacklingCoef"=dword:00000064
"WBTechniqueCoef"=dword:00000028
"WBLeftFootCoef"=dword:00000005
"WBRightFootCoef"=dword:00000005
"WBAggressionCoef"=dword:0000000a
"WBAnticipationCoef"=dword:00000050
"WBBraveryCoef"=dword:0000000a
"WBComposureCoef"=dword:0000000a
"WBConcentrationCoef"=dword:00000014
"WBConsistencyCoef"=dword:0000000a
"WBCreativityCoef"=dword:00000014
"WBDecisionsCoef"=dword:00000014
"WBDeterminationCoef"=dword:0000000a
"WBDirtinessCoef"=dword:fffffff6
"WBFlairCoef"=dword:0000000a
"WBImportantMatchesCoef"=dword:0000000a
"WBInfluenceCoef"=dword:0000000a
"WBOffTheBallCoef"=dword:00000014
"WBPositioningCoef"=dword:00000064
"WBTeamworkCoef"=dword:00000014
"WBWorkRateCoef"=dword:00000028
"WBAccelerationCoef"=dword:00000050
"WBAgilityCoef"=dword:0000000a
"WBBalanceCoef"=dword:00000014
"WBInjuryPronenessCoef"=dword:fffffffb
"WBJumpingCoef"=dword:00000014
"WBNaturalFitnessCoef"=dword:00000005
"WBPaceCoef"=dword:00000064
"WBStaminaCoef"=dword:00000050
"WBStrengthCoef"=dword:00000028
"WBVersatilityCoef"=dword:00000005
"WBAerialAbilityCoef"=dword:00000000
"WBCommandOfAreaCoef"=dword:00000000
"WBCommunicationCoef"=dword:00000000
"WBEccentricityCoef"=dword:00000000
"WBHandlingCoef"=dword:00000000
"WBKickingCoef"=dword:00000000
"WBOneOnOnesCoef"=dword:00000005
"WBReflexesCoef"=dword:00000005
"WBRushingOutCoef"=dword:00000000
"WBTendencyToPunchCoef"=dword:00000000
"WBThrowingCoef"=dword:00000000
"WBAdaptabilityCoef"=dword:00000005
"WBAmbitionCoef"=dword:0000000a
"WBControversyCoef"=dword:fffffffb
"WBLoyalityCoef"=dword:00000005
"WBPressureCoef"=dword:00000005
"WBProfessionalismCoef"=dword:00000005
"WBSportsmanshipCoef"=dword:00000005
"WBTemperamentCoef"=dword:00000005
"DMWeightCoef"=dword:00000067
"DMCurrentAbilityCoef"=dword:00000000
"DMCornersCoef"=dword:0000000a
"DMCrossingCoef"=dword:0000001e
"DMDribblingCoef"=dword:00000014
"DMFinishingCoef"=dword:0000000a
"DMFirstTouchCoef"=dword:0000001e
"DMFreeKicksCoef"=dword:0000000a
"DMHeadingCoef"=dword:00000028
"DMLongShotsCoef"=dword:00000014
"DMLongThrowsCoef"=dword:00000005
"DMMarkingCoef"=dword:0000003c
"DMPassingCoef"=dword:00000028
"DMPenaltiesCoef"=dword:00000005
"DMTacklingCoef"=dword:00000064
"DMTechniqueCoef"=dword:0000001e
"DMLeftFootCoef"=dword:00000005
"DMRightFootCoef"=dword:00000005
"DMAggressionCoef"=dword:00000028
"DMAnticipationCoef"=dword:00000028
"DMBraveryCoef"=dword:00000014
"DMComposureCoef"=dword:0000000a
"DMConcentrationCoef"=dword:00000014
"DMConsistencyCoef"=dword:0000000a
"DMCreativityCoef"=dword:00000014
"DMDecisionsCoef"=dword:00000014
"DMDeterminationCoef"=dword:0000000a
"DMDirtinessCoef"=dword:fffffff6
"DMFlairCoef"=dword:0000000a
"DMImportantMatchesCoef"=dword:0000000a
"DMInfluenceCoef"=dword:0000000a
"DMOffTheBallCoef"=dword:0000001e
"DMPositioningCoef"=dword:00000050
"DMTeamworkCoef"=dword:00000028
"DMWorkRateCoef"=dword:00000050
"DMAccelerationCoef"=dword:00000028
"DMAgilityCoef"=dword:0000000a
"DMBalanceCoef"=dword:0000000a
"DMInjuryPronenessCoef"=dword:fffffffb
"DMJumpingCoef"=dword:00000028
"DMNaturalFitnessCoef"=dword:00000005
"DMPaceCoef"=dword:00000028
"DMStaminaCoef"=dword:0000003c
"DMStrengthCoef"=dword:00000028
"DMVersatilityCoef"=dword:00000005
"DMAerialAbilityCoef"=dword:00000000
"DMCommandOfAreaCoef"=dword:00000000
"DMCommunicationCoef"=dword:00000000
"DMEccentricityCoef"=dword:00000000
"DMHandlingCoef"=dword:00000000
"DMKickingCoef"=dword:00000000
"DMOneOnOnesCoef"=dword:00000005
"DMReflexesCoef"=dword:00000005
"DMRushingOutCoef"=dword:00000000
"DMTendencyToPunchCoef"=dword:00000000
"DMThrowingCoef"=dword:00000000
"DMAdaptabilityCoef"=dword:00000005
"DMAmbitionCoef"=dword:0000000a
"DMControversyCoef"=dword:fffffffb
"DMLoyalityCoef"=dword:00000005
"DMPressureCoef"=dword:00000005
"DMProfessionalismCoef"=dword:00000005
"DMSportsmanshipCoef"=dword:00000005
"DMTemperamentCoef"=dword:00000005
"MWeightCoef"=dword:00000068
"MCurrentAbilityCoef"=dword:00000000
"MCornersCoef"=dword:0000000a
"MCrossingCoef"=dword:00000028
"MDribblingCoef"=dword:00000032
"MFinishingCoef"=dword:00000014
"MFirstTouchCoef"=dword:0000001e
"MFreeKicksCoef"=dword:0000000a
"MHeadingCoef"=dword:0000001e
"MLongShotsCoef"=dword:00000014
"MLongThrowsCoef"=dword:00000005
"MMarkingCoef"=dword:00000028
"MPassingCoef"=dword:00000046
"MPenaltiesCoef"=dword:00000005
"MTacklingCoef"=dword:0000003c
"MTechniqueCoef"=dword:00000032
"MLeftFootCoef"=dword:00000005
"MRightFootCoef"=dword:00000005
"MAggressionCoef"=dword:0000001e
"MAnticipationCoef"=dword:00000028
"MBraveryCoef"=dword:0000000a
"MComposureCoef"=dword:0000000a
"MConcentrationCoef"=dword:0000000a
"MConsistencyCoef"=dword:0000000a
"MCreativityCoef"=dword:0000003c
"MDecisionsCoef"=dword:0000001e
"MDeterminationCoef"=dword:0000000a
"MDirtinessCoef"=dword:fffffffb
"MFlairCoef"=dword:0000000a
"MImportantMatchesCoef"=dword:0000000a
"MInfluenceCoef"=dword:0000000a
"MOffTheBallCoef"=dword:00000028
"MPositioningCoef"=dword:00000028
"MTeamworkCoef"=dword:00000032
"MWorkRateCoef"=dword:00000032
"MAccelerationCoef"=dword:00000032
"MAgilityCoef"=dword:0000000a
"MBalanceCoef"=dword:0000000a
"MInjuryPronenessCoef"=dword:fffffffb
"MJumpingCoef"=dword:00000028
"MNaturalFitnessCoef"=dword:00000005
"MPaceCoef"=dword:00000028
"MStaminaCoef"=dword:0000003c
"MStrengthCoef"=dword:0000001e
"MVersatilityCoef"=dword:00000005
"MAerialAbilityCoef"=dword:00000000
"MCommandOfAreaCoef"=dword:00000000
"MCommunicationCoef"=dword:00000000
"MEccentricityCoef"=dword:00000000
"MHandlingCoef"=dword:00000000
"MKickingCoef"=dword:00000000
"MOneOnOnesCoef"=dword:00000005
"MReflexesCoef"=dword:00000005
"MRushingOutCoef"=dword:00000000
"MTendencyToPunchCoef"=dword:00000000
"MThrowingCoef"=dword:00000000
"MAdaptabilityCoef"=dword:00000005
"MAmbitionCoef"=dword:0000000a
"MControversyCoef"=dword:fffffffb
"MLoyalityCoef"=dword:00000005
"MPressureCoef"=dword:00000005
"MProfessionalismCoef"=dword:00000005
"MSportsmanshipCoef"=dword:00000005
"MTemperamentCoef"=dword:00000005
"AMWeightCoef"=dword:00000068
"AMCurrentAbilityCoef"=dword:00000000
"AMCornersCoef"=dword:0000000a
"AMCrossingCoef"=dword:0000003c
"AMDribblingCoef"=dword:00000050
"AMFinishingCoef"=dword:00000028
"AMFirstTouchCoef"=dword:0000001e
"AMFreeKicksCoef"=dword:0000000a
"AMHeadingCoef"=dword:00000014
"AMLongShotsCoef"=dword:00000014
"AMLongThrowsCoef"=dword:00000005
"AMMarkingCoef"=dword:0000000a
"AMPassingCoef"=dword:00000064
"AMPenaltiesCoef"=dword:00000005
"AMTacklingCoef"=dword:0000000a
"AMTechniqueCoef"=dword:00000050
"AMLeftFootCoef"=dword:00000005
"AMRightFootCoef"=dword:00000005
"AMAggressionCoef"=dword:0000000a
"AMAnticipationCoef"=dword:0000001e
"AMBraveryCoef"=dword:0000000a
"AMComposureCoef"=dword:0000000a
"AMConcentrationCoef"=dword:0000000a
"AMConsistencyCoef"=dword:0000000a
"AMCreativityCoef"=dword:00000064
"AMDecisionsCoef"=dword:00000028
"AMDeterminationCoef"=dword:0000000a
"AMDirtinessCoef"=dword:fffffffb
"AMFlairCoef"=dword:00000014
"AMImportantMatchesCoef"=dword:0000000a
"AMInfluenceCoef"=dword:0000000a
"AMOffTheBallCoef"=dword:0000003c
"AMPositioningCoef"=dword:00000014
"AMTeamworkCoef"=dword:0000003c
"AMWorkRateCoef"=dword:00000014
"AMAccelerationCoef"=dword:0000003c
"AMAgilityCoef"=dword:0000000a
"AMBalanceCoef"=dword:0000000a
"AMInjuryPronenessCoef"=dword:fffffffb
"AMJumpingCoef"=dword:00000014
"AMNaturalFitnessCoef"=dword:00000005
"AMPaceCoef"=dword:0000003c
"AMStaminaCoef"=dword:0000003c
"AMStrengthCoef"=dword:00000014
"AMVersatilityCoef"=dword:00000005
"AMAerialAbilityCoef"=dword:00000000
"AMCommandOfAreaCoef"=dword:00000000
"AMCommunicationCoef"=dword:00000000
"AMEccentricityCoef"=dword:00000000
"AMHandlingCoef"=dword:00000000
"AMKickingCoef"=dword:00000000
"AMOneOnOnesCoef"=dword:00000005
"AMReflexesCoef"=dword:00000005
"AMRushingOutCoef"=dword:00000000
"AMTendencyToPunchCoef"=dword:00000000
"AMThrowingCoef"=dword:00000000
"AMAdaptabilityCoef"=dword:00000005
"AMAmbitionCoef"=dword:0000000a
"AMControversyCoef"=dword:fffffffb
"AMLoyalityCoef"=dword:00000005
"AMPressureCoef"=dword:00000005
"AMProfessionalismCoef"=dword:00000005
"AMSportsmanshipCoef"=dword:00000005
"AMTemperamentCoef"=dword:00000005
"WWeightCoef"=dword:00000069
"WCurrentAbilityCoef"=dword:00000000
"WCornersCoef"=dword:0000000a
"WCrossingCoef"=dword:00000064
"WDribblingCoef"=dword:00000064
"WFinishingCoef"=dword:0000003c
"WFirstTouchCoef"=dword:0000001e
"WFreeKicksCoef"=dword:0000000a
"WHeadingCoef"=dword:00000014
"WLongShotsCoef"=dword:00000014
"WLongThrowsCoef"=dword:00000005
"WMarkingCoef"=dword:0000000a
"WPassingCoef"=dword:0000003c
"WPenaltiesCoef"=dword:00000005
"WTacklingCoef"=dword:0000000a
"WTechniqueCoef"=dword:00000050
"WLeftFootCoef"=dword:00000005
"WRightFootCoef"=dword:00000005
"WAggressionCoef"=dword:0000000a
"WAnticipationCoef"=dword:00000014
"WBraveryCoef"=dword:0000000a
"WComposureCoef"=dword:0000000a
"WConcentrationCoef"=dword:0000000a
"WConsistencyCoef"=dword:0000000a
"WCreativityCoef"=dword:0000003c
"WDecisionsCoef"=dword:00000014
"WDeterminationCoef"=dword:0000000a
"WDirtinessCoef"=dword:fffffffb
"WFlairCoef"=dword:0000000a
"WImportantMatchesCoef"=dword:00000014
"WInfluenceCoef"=dword:0000000a
"WOffTheBallCoef"=dword:0000003c
"WPositioningCoef"=dword:00000014
"WTeamworkCoef"=dword:0000001e
"WWorkRateCoef"=dword:0000001e
"WAccelerationCoef"=dword:00000050
"WAgilityCoef"=dword:00000014
"WBalanceCoef"=dword:0000000a
"WInjuryPronenessCoef"=dword:fffffffb
"WJumpingCoef"=dword:00000014
"WNaturalFitnessCoef"=dword:00000005
"WPaceCoef"=dword:00000064
"WStaminaCoef"=dword:0000003c
"WStrengthCoef"=dword:00000014
"WVersatilityCoef"=dword:00000005
"WAerialAbilityCoef"=dword:00000000
"WCommandOfAreaCoef"=dword:00000000
"WCommunicationCoef"=dword:00000000
"WEccentricityCoef"=dword:00000000
"WHandlingCoef"=dword:00000000
"WKickingCoef"=dword:00000000
"WOneOnOnesCoef"=dword:00000005
"WReflexesCoef"=dword:00000005
"WRushingOutCoef"=dword:00000000
"WTendencyToPunchCoef"=dword:00000000
"WThrowingCoef"=dword:00000000
"WAdaptabilityCoef"=dword:00000005
"WAmbitionCoef"=dword:0000000a
"WControversyCoef"=dword:fffffffb
"WLoyalityCoef"=dword:00000005
"WPressureCoef"=dword:00000005
"WProfessionalismCoef"=dword:00000005
"WSportsmanshipCoef"=dword:00000005
"WTemperamentCoef"=dword:00000005
"FSTWeightCoef"=dword:00000067
"FSTCurrentAbilityCoef"=dword:00000000
"FSTCornersCoef"=dword:0000000a
"FSTCrossingCoef"=dword:0000000a
"FSTDribblingCoef"=dword:00000050
"FSTFinishingCoef"=dword:00000064
"FSTFirstTouchCoef"=dword:00000028
"FSTFreeKicksCoef"=dword:0000000a
"FSTHeadingCoef"=dword:00000028
"FSTLongShotsCoef"=dword:00000014
"FSTLongThrowsCoef"=dword:00000000
"FSTMarkingCoef"=dword:00000000
"FSTPassingCoef"=dword:00000028
"FSTPenaltiesCoef"=dword:00000005
"FSTTacklingCoef"=dword:00000000
"FSTTechniqueCoef"=dword:00000050
"FSTLeftFootCoef"=dword:00000005
"FSTRightFootCoef"=dword:00000005
"FSTAggressionCoef"=dword:0000000a
"FSTAnticipationCoef"=dword:0000000a
"FSTBraveryCoef"=dword:0000000a
"FSTComposureCoef"=dword:0000000a
"FSTConcentrationCoef"=dword:0000000a
"FSTConsistencyCoef"=dword:0000000a
"FSTCreativityCoef"=dword:00000028
"FSTDecisionsCoef"=dword:0000000a
"FSTDeterminationCoef"=dword:0000000a
"FSTDirtinessCoef"=dword:fffffffb
"FSTFlairCoef"=dword:0000000a
"FSTImportantMatchesCoef"=dword:0000000a
"FSTInfluenceCoef"=dword:0000000a
"FSTOffTheBallCoef"=dword:00000050
"FSTPositioningCoef"=dword:0000000a
"FSTTeamworkCoef"=dword:0000000a
"FSTWorkRateCoef"=dword:0000000a
"FSTAccelerationCoef"=dword:00000064
"FSTAgilityCoef"=dword:00000028
"FSTBalanceCoef"=dword:0000000a
"FSTInjuryPronenessCoef"=dword:fffffffb
"FSTJumpingCoef"=dword:00000014
"FSTNaturalFitnessCoef"=dword:00000005
"FSTPaceCoef"=dword:00000064
"FSTStaminaCoef"=dword:00000028
"FSTStrengthCoef"=dword:00000014
"FSTVersatilityCoef"=dword:00000005
"FSTAerialAbilityCoef"=dword:00000000
"FSTCommandOfAreaCoef"=dword:00000000
"FSTCommunicationCoef"=dword:00000000
"FSTEccentricityCoef"=dword:00000000
"FSTHandlingCoef"=dword:00000000
"FSTKickingCoef"=dword:00000000
"FSTOneOnOnesCoef"=dword:00000005
"FSTReflexesCoef"=dword:00000005
"FSTRushingOutCoef"=dword:00000000
"FSTTendencyToPunchCoef"=dword:00000000
"FSTThrowingCoef"=dword:00000000
"FSTAdaptabilityCoef"=dword:00000005
"FSTAmbitionCoef"=dword:0000000a
"FSTControversyCoef"=dword:fffffffb
"FSTLoyalityCoef"=dword:00000005
"FSTPressureCoef"=dword:00000005
"FSTProfessionalismCoef"=dword:00000005
"FSTSportsmanshipCoef"=dword:00000005
"FSTTemperamentCoef"=dword:00000005
"TSTWeightCoef"=dword:00000067
"TSTCurrentAbilityCoef"=dword:00000000
"TSTCornersCoef"=dword:00000000
"TSTCrossingCoef"=dword:0000000a
"TSTDribblingCoef"=dword:0000003c
"TSTFinishingCoef"=dword:00000050
"TSTFirstTouchCoef"=dword:0000001e
"TSTFreeKicksCoef"=dword:0000000a
"TSTHeadingCoef"=dword:00000064
"TSTLongShotsCoef"=dword:00000014
"TSTLongThrowsCoef"=dword:00000000
"TSTMarkingCoef"=dword:00000000
"TSTPassingCoef"=dword:00000028
"TSTPenaltiesCoef"=dword:00000005
"TSTTacklingCoef"=dword:00000000
"TSTTechniqueCoef"=dword:00000028
"TSTLeftFootCoef"=dword:00000005
"TSTRightFootCoef"=dword:00000005
"TSTAggressionCoef"=dword:00000014
"TSTAnticipationCoef"=dword:0000000a
"TSTBraveryCoef"=dword:00000014
"TSTComposureCoef"=dword:0000000a
"TSTConcentrationCoef"=dword:0000000a
"TSTConsistencyCoef"=dword:0000000a
"TSTCreativityCoef"=dword:00000014
"TSTDecisionsCoef"=dword:0000000a
"TSTDeterminationCoef"=dword:0000000a
"TSTDirtinessCoef"=dword:fffffffb
"TSTFlairCoef"=dword:0000000a
"TSTImportantMatchesCoef"=dword:0000000a
"TSTInfluenceCoef"=dword:0000000a
"TSTOffTheBallCoef"=dword:00000050
"TSTPositioningCoef"=dword:00000014
"TSTTeamworkCoef"=dword:0000000a
"TSTWorkRateCoef"=dword:0000000a
"TSTAccelerationCoef"=dword:00000028
"TSTAgilityCoef"=dword:00000014
"TSTBalanceCoef"=dword:00000014
"TSTInjuryPronenessCoef"=dword:fffffffb
"TSTJumpingCoef"=dword:00000064
"TSTNaturalFitnessCoef"=dword:00000005
"TSTPaceCoef"=dword:00000028
"TSTStaminaCoef"=dword:00000014
"TSTStrengthCoef"=dword:00000050
"TSTVersatilityCoef"=dword:00000005
"TSTAerialAbilityCoef"=dword:00000000
"TSTCommandOfAreaCoef"=dword:00000000
"TSTCommunicationCoef"=dword:00000000
"TSTEccentricityCoef"=dword:00000000
"TSTHandlingCoef"=dword:00000000
"TSTKickingCoef"=dword:00000000
"TSTOneOnOnesCoef"=dword:00000005
"TSTReflexesCoef"=dword:00000005
"TSTRushingOutCoef"=dword:00000000
"TSTTendencyToPunchCoef"=dword:00000000
"TSTThrowingCoef"=dword:00000000
"TSTAdaptabilityCoef"=dword:00000005
"TSTAmbitionCoef"=dword:0000000a
"TSTControversyCoef"=dword:fffffffb
"TSTLoyalityCoef"=dword:00000005
"TSTPressureCoef"=dword:00000005
"TSTProfessionalismCoef"=dword:00000005
"TSTSportsmanshipCoef"=dword:00000005
"TSTTemperamentCoef"=dword:00000005

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
@DACL=
"GameDir"="c:\\Documents and Settings\\angelo\\Documenti\\Sports Interactive\\Football Manager 2009\\games"
"ShortlistDir"=""
"ScreenshotsDir"="c:\\Documents and Settings\\angelo\\Documenti\\Sports Interactive\\Football Manager 2009"
"SaveDir"="c:\\Documents and Settings\\angelo\\Documenti\\Sports Interactive\\Football Manager 2009\\"
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000001
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="7A-F895-2943"
"Currency"=dword:00000056
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"LangDB"="d:\\Giochi\\Football manager 2009\\data\\db\\900\\lang_db.dat"

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{73837219-7FFD-097C-1189-C31AB610FF26}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-436374069-1788223648-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Ora fine scansione: 2009-05-12 18.09.47
ComboFix-quarantined-files.txt 2009-05-12 16:09

Pre-Run: 40.653.201.408 byte disponibili
Post-Run: 40.709.349.376 byte disponibili

1789 --- E O F --- 2009-04-30 00:35

Cosa ne dici?
Di quale antivirus mi devo fidare?
Grazie
Angelo ha detto... @ 12 maggio 2009 20:15: Come immaginavo...
Ho fatto proprio ora una scansione con malwarebytes e questo è il risultato:

Malwarebytes' Anti-Malware 1.36
Versione del database: 2116
Windows 5.1.2600 Service Pack 3

12/05/2009 20.04.08
mbam-log-2009-05-12 (20-03-57).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 194053
Tempo trascorso: 36 minute(s), 30 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 7

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP1\A0000010.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP2\A0000169.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP2\A0000195.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP2\A0000211.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP2\A0000320.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP2\A0000331.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{57F9C9AB-2D8C-444D-ABC0-485C01971229}\RP3\A0000340.sys (Rootkit.Bagle) -> No action taken.
Laura ha detto... @ 12 maggio 2009 23:13: ciao,ma i file infetti sono nel cestino?
lo hai svuotato?
Angelo ha detto... @ 13 maggio 2009 10:29: Ciao Laura ho risolto il problema (almeno spero).
Volevo chiederti quale antivirus mi consigli di mettere?
AVG professional può andar bene?
Grazie ancora
Laura ha detto... @ 13 maggio 2009 12:41: ciao Angelo,ti sconsiglio AVG perchè a volte al posto di disinfettare i file di sistema li elimina!
usa norton o kaspersky.
stefano v ha detto... @ 16 maggio 2009 21:55: Richiesta di aiuto in extremis per la fenomenale e paziente Laura:

anch'io ieri mattina ho preso bagle o qualcosa del genere (wfsintwq.sys) e da allora sto diventando matto per recuperare l'uso del pc e salvare dei file di lavoro (urgenti e da consegnare entro lunedi!) che non ho in backup (me tapino)

Il virus appena scaricato ha disinstallato sia Avast che Avira ed eliminato tutti i programmi di pulizia registro (es. CCleaner) obbligandomi a spegnere e .... cosnstatare che dopo di allora
WIndows non si avvia più in alcun modo, al massimo si inchioda a 3/4 della schermata di avvio e poi dà finestra blu con codici di errore vari riferiti al file wfsintwq.sys ...

Il problema è anche che, al contrario di tutti quelli di cu ho letto, io ho Windows 2000 ed anche il RAID 0,1 di Intel (ICH6R) che mi complica molto la vita perchè non riesco a vedere l'HD in configuraizone 1 su cui ho i file di archivio

Windows non parte neppure in nessuna opzione modalità provvisoria (vari tipi di schermata blu con riferimento ad altri file .sys)

Sto impazzendo con la console di ripristino etc. che però ho dovuto caricare da un altro pc (con istruzioni trovate in rete xkè il raid non permette di preimpostarle). Non ho provato tutte le opzioni perchè temo di combinare un guaio e perdere i file di lavoro (davvero importanti).

In definitiva non riesco a fare nulla! Unica cosa che sono riuscito a fare è salvare qualche file dall'HD C (Raid 0) usando Ubuntu live (v.7.04) ma Ubuntu non mi vede l'HD in Raid 1 (quello dove sono i file di archivio (beffa!)

la domanda disperata è: è possibile usare la procedura descritta qui usando FindyKill con Win2000 e se sì come faccio ad eseguirlo? Come detto non riesco a far partire Windows neppure in modalità provvisoria ....

spero davvero in un aiuto a riconoscenza eterna :-)
Laura ha detto... @ 16 maggio 2009 23:21: ma stefano se il pc non si accende è perchè mancano dei file del sistema operativo,solo una console di ripristino o una formattazione potrebbe far riprendere il tuo pc.
Anonimo ha detto... @ 21 maggio 2009 18:20: Laura ho istallato il file findkill e sono arrivato al passaggio della ricerca dei file dopo mi appare un bloc note di findkill cosa devo fare mi sono bloccato in quel punto clicco il 2 ma nn fa nulla
Laura ha detto... @ 21 maggio 2009 18:24: devi chiudere e riaprire il programma e poi scegliere l'opzione 2
Anonimo ha detto... @ 21 maggio 2009 18:52: findykill nn mi ha trovato nessun file dannoso pero adesso provo cmq a fare una scansione con kaspersky removel tool e poi reistallo l'antivirus e vedo che succede se metto la patch
Laura ha detto... @ 21 maggio 2009 18:56: ok
Anonimo ha detto... @ 20 giugno 2009 00:05: guida del cavolo visto che bagle ubuntu neppure lo riconosce ma in questo blog neppure se ne parla di ubuntu.
Anonimo ha detto... @ 20 giugno 2009 00:09: mi aspetto che rimuoverai questo commento visto che non sai nemmeno cos'è ubuntu! giusto?
Laura ha detto... @ 20 giugno 2009 08:26: testa di ca*** certo che ho parlato di ubuntu
http://mondoemule.blogspot.com/search/label/Ubuntu
chi ca***o sei tu per dirmi di cosa devo parlare nel blog
Anonimo ha detto... @ 20 giugno 2009 14:42: ahah che brava che sei...
Chiara ha detto... @ 20 giugno 2009 14:43: si si più di te lo sono :D
Anonimo ha detto... @ 05 luglio 2009 21:42: ----------------- FindyKill V4.707 -------------
* User : ARY - ARIANNA
* executed from : C:\Program Files\FindyKill
* Update on 06/12/08 par Chiquitine29
* Start at 20:39:09 the 04/07/2009
* Windows Vista - Internet Explorer 8.0.6001.18783
(( *** deleting *** ))))))
--- [ Active Processes ] ----------------
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\iashost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\OGAVerify.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

--------------- [ Infected files / folders ] ---

»»»» Supression files in C:
»»» Supression files in C:\Windows
»»»» Supression files in C:\Windows\Prefetch
»»» Supression files in C:\Windows\system32

Not deleted !! - C:\Windows\system32\mdelk.exe
Not deleted !! - C:\Windows\system32\wintems.exe
»»»» Supression files in C:\Windows\system32\drivers
»»»» Supression files in C:\Users\ARY\AppData\Roaming

Not deleted !! - "C:\Users\ARY\AppData\Roaming\m\flec006.exe"
Not deleted !! - "C:\Users\ARY\AppData\Roaming\m"
Anonimo ha detto... @ 05 luglio 2009 21:43: »»»» Supression files in C:\Users\ARY\AppData\Local\Temp
»»»» Supression files in C:\Users\ARY\Local Settings\Temporary Internet Files\Content.IE5
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64_1[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64_6[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C4OLZWQ9\b64[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C4OLZWQ9\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JHU7RHWL\b64_1[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQ2MB74A\b64[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQ2MB74A\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64_1[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2W0ZES9T\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C4OLZWQ9\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C4OLZWQ9\b64_6[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JHU7RHWL\b64_3[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JHU7RHWL\mxd[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQ2MB74A\b64[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQ2MB74A\b64_1[1].jpg
Deleted ! - C:\Users\ARY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQ2MB74A\b64_3[1].jpg

--- [ Registry / Infected keys ] --------------
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-2745086977-317741887-1312706485-1000\Software\Local AppWizard-Generated Applications\flec006
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\flec006

--[ States / Restarting of services ] ----------
+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Wlansvc - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

WinDefend - Type of startup = 2

-- [ Cleaning removable drives ] ------------
+- Informations :

C: - Unidad fija
D: - Unidad de CD-ROM

+- deleting files :

--------------- [ Registry / Mountpoint2 ] ----------------

$
-> Not found !

--------------- [ Searching Cracks / Keygen ] ----------------

---------------- ! End of report ! -------------
Chiara ha detto... @ 05 luglio 2009 23:06: ciao findykill ha cancellato le chiavi infette,ora che problema hai?
Anonimo ha detto... @ 05 luglio 2009 23:58: CI SONO 2 FILE CHE MI SEGNA COME NOT DELETE E CONTINUA A DARMI ERRORE COME "NON È UN APPLICAZIONE DI WIN32 VALIDA" E INOLTRE NON RIESCO A FARE UNA SCANSIONE CON NESSUN ANTIVIRUS. SE USO MALWAREBYTE TROVA ANCORA FILE INFETTI (CREDO QUELLI CHE NON HA CANCELLATO FINDYSKILLY) E AD UN CERTO PUNTO SI BLOCCA O SI MI DÁ LA FAMOSA SCHERMATA BLU E SI RIAVVIA...

ARIANNA
Anonimo ha detto... @ 05 luglio 2009 23:59: --------------- [ Infected files / folders ] ---

»»»» Supression files in C:
»»» Supression files in C:\Windows
»»»» Supression files in C:\Windows\Prefetch
»»» Supression files in C:\Windows\system32

Not deleted !! - C:\Windows\system32\mdelk.exe
Not deleted !! - C:\Windows\system32\wintems.exe
»»»» Supression files in C:\Windows\system32\drivers
»»»» Supression files in C:\Users\ARY\AppData\Roaming

Not deleted !! - "C:\Users\ARY\AppData\Roaming\m\flec006.exe"
Not deleted !! - "C:\Users\ARY\AppData\Roaming\m"
Chiara ha detto... @ 06 luglio 2009 10:51: allora dovresti preparare uno script in avenger e aggiungere ai File to delete queste due righe:
C:\Users\ARY\AppData\Roaming\m\flec006.exe"
C:\Users\ARY\AppData\Roaming\m

guida avenger
Anonimo ha detto... @ 06 luglio 2009 13:09: CI PROVO...SPERIAMO IN BENE... TI FACCIO SAPERE. GRAZIE!
Anonimo ha detto... @ 06 luglio 2009 23:54: niente da fare. . . :( non riesco a far partire avenger... mi dà errore win32, se lo scompatto sul desktop e cerco di aprirlo cliccando col tasto destro rimane a "pensare", ma non fa nulla, fino alla finestra di windows che chiede di aspettare, chiudere il programma o reiniziare il programma... che posso fare?? :(
Chiara ha detto... @ 07 luglio 2009 10:28: Se avenger non parte allora è la variante del virus più difficile da eliminare....
cancella dall'editor di registro (start-->esegui-->regedit)i valori

[HKCU\Software\FirstRuxzx]
"FirstRun"="dword:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key"="%UserProfile%\Application Data\hidn\hidn2.exe"

sempre nell'editor inserisci il valore

[HKLM\System\CurrentControlSet\Control\SafeBoot]

Cancella nella directory sottoscritta il file

%UserProfile%\Application Data\hidn\hidn2.exe e il file m_hook.sys

(se non si riesi ad eliminarle perchè nega l'accesso usa KillBox)

Controlla se hai anche questa chiavi di registro ed eliminale:

1. HKEY_CURRENT_USER\software\local appwizard-generated
2. applications\winupgro
3. HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\Local AppWizard-Generated Applications\winupgro
4. HKEY_USERS\S-1-5-21-1758808559-3771437077-258270031-1006\Software\bisoft HKEY_CURRENT_USER\Software\bisoft
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "drvsyskit"=-
6. HKLM\SYSTEM\CurrentControlSet\Services\srosa
7. HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
8. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
9. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
10. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
11. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
12. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
13. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
14. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
15. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
16. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
17. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
18. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
19. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
20. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
21. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
22. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
23. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
24. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
25. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
26. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
27. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
28. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
29. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
30. Questi sono alcuni dei servizi che vengono disabilitati e quello indicato
31. è il valore a cui devono essere reimpostati.
32. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start"=dword:00000002
33. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc "Start"=dword:00000003
34. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess “Start"=dword:00000003
35. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio "Start"=dword:00000003

Cancella manualmente:
"C:\Users\ARY\AppData\Roaming\m\flec006.exe"
"C:\Users\ARY\AppData\Roaming\m"

A questo punto dovresti riuscire ad andare in modalità provvisoria... Quando sei in modalità provvisoria installa l'antivirus e fai una scansione. Se il problema permane allora mi devi postare un log di hijackthis.
Anonimo ha detto... @ 18 luglio 2009 19:02: ciao! Pare che il problema sia risolto..ho fatto una scansione con Avenger e il risultato è il seguente:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "BTHPORT" found!
Hidden driver "WUDFRd" found!
ImagePath: system32\DRIVERS\WUDFRd.sys
Start Type: 3 (Manual)

Rootkit scan completed.

Completed script processing.

*******************

Finished! Terminate.

Tu che dici?
Arianna
Chiara ha detto... @ 18 luglio 2009 19:14: Perfetto Arianna!
Come hai fatto a far partire Avenger?
Anonimo ha detto... @ 18 luglio 2009 19:46: ps. il defender non mi funziona piú. Mi dá il seguente errore : 0x800106ba ..
Chiara ha detto... @ 18 luglio 2009 19:57: prova cosi':
vai su start/ esegui e scrivi services.msc.

Nella lista dei servizi che ti apparirà clicca con il tasto destro su 'Windows defender' e poi clicca su 'proprietà'.
Nella casella 'tipo di avvio' seleziona 'automatico' e, se non lo hai già stato fatto, clicca su 'Avvia' nello 'stato del servizio'.
Anonimo ha detto... @ 24 luglio 2009 00:19: ciao. Ho seguito i tuoi consigli (grazie, grazie, grazie !!!!), poi dalla modalitá provvisoria ho fatto una scansione ed eliminato tutti i file con Malware e avira. Il pc é ripartito, ho installato Avenger che mi dá l'esito che ti ho postato. Secondo te questi: Hidden driver "BTHPORT" found!
Hidden driver "WUDFRd" found!
ImagePath: system32\DRIVERS\WUDFRd.sys
Start Type: 3 (Manual)
significa che ci sono ancora problemi? Il defender continua a non funzionare. Mi dá il seguente errore, seguendo le tue indicazioni:0x80070714.
Chiara ha detto... @ 24 luglio 2009 12:11: io direi di rieseguire una scansione con Kaspersky removal tool,Combofix e Malwarebytes' Anti-Malware.
Anonimo ha detto... @ 06 agosto 2009 01:26: ciao, ti posto il risultato di combofix...
ComboFix 09-08-04.04 - ARY 06/08/2009 0.41.27.1.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.39.3082.18.1789.977 [GMT 2:00]
Eseguito da: c:\users\ARY\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\ARY\AppData\Local\queqgyw.dat
c:\users\ARY\AppData\Local\queqgyw_nav.dat
c:\users\ARY\AppData\Local\queqgyw_navps.dat

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_111111S1RO1S1A
-------\Legacy_SK9OU0S

((((((((((((((((((((((((( Files Creati Da 2009-07-05 al 2009-08-05 )))))))))))))))))))))))))))))))))))
.

2009-08-05 22:52 . 2009-08-05 22:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-08-04 22:13 . 2009-07-21 21:52 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-31 19:00 . 2009-08-01 17:58 -------- d-----w- c:\users\ARY\AppData\Local\Microsoft Games
2009-07-27 23:18 . 2009-07-27 23:23 1915520 ----a-w- c:\users\ARY\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-07-26 19:51 . 2009-07-26 19:51 932368 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\profiles-1-6.dll
2009-07-26 19:51 . 2009-07-26 19:51 678416 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\content_interpreter-1-1.dll
2009-07-26 19:51 . 2009-07-26 19:51 604688 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\gsg-3-9.dll
2009-07-26 19:51 . 2009-07-26 19:51 522768 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\database-1-5.dll
2009-07-26 19:51 . 2009-07-26 19:51 1096208 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\filtration-4-6.dll
2009-07-26 19:35 . 2009-07-26 19:35 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-07-26 19:27 . 2009-07-26 19:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-07-26 19:27 . 2009-07-26 19:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-07-26 19:23 . 2009-08-05 22:27 -------- d-----w- c:\programdata\Kaspersky Lab
2009-07-26 19:23 . 2009-07-26 19:23 -------- d-----w- c:\program files\Kaspersky Lab
2009-07-26 19:18 . 2009-07-26 19:18 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
2009-07-23 22:26 . 2009-07-23 22:48 -------- d-----w- C:\FindyKill
2009-07-18 18:11 . 2009-07-18 18:11 -------- d-----w- c:\programdata\NortonInstaller
2009-07-18 17:03 . 2009-06-15 14:53 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-18 17:03 . 2009-06-15 14:52 23552 ----a-w- c:\windows\system32\lpk.dll
2009-07-18 17:03 . 2009-06-15 14:52 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-18 17:03 . 2009-06-15 14:51 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-18 17:03 . 2009-06-15 12:42 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-14 16:49 . 2009-07-14 16:49 64088 ----a-w- c:\programdata\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.463\Italian\setup.exe
2009-07-13 22:41 . 2009-07-13 22:42 -------- d-----w- c:\windows\system32\ca-ES
2009-07-13 22:41 . 2009-07-13 22:42 -------- d-----w- c:\windows\system32\eu-ES
2009-07-13 22:41 . 2009-07-13 22:42 -------- d-----w- c:\windows\system32\vi-VN
2009-07-13 20:11 . 2009-04-11 06:33 986600 ----a-w- c:\windows\system32\winload.exe
2009-07-13 20:10 . 2009-04-11 06:28 343040 ----a-w- c:\windows\system32\wmicmiplugin.dll
Anonimo ha detto... @ 06 agosto 2009 01:27: ComboFix 09-08-04.04 - ARY 06/08/2009 0.41.27.1.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.39.3082.18.1789.977 [GMT 2:00]
Eseguito da: c:\users\ARY\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\ARY\AppData\Local\queqgyw.dat
c:\users\ARY\AppData\Local\queqgyw_nav.dat
c:\users\ARY\AppData\Local\queqgyw_navps.dat

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_111111S1RO1S1A
-------\Legacy_SK9OU0S

«Meno recenti ‹Vecchi 1 – 200 di 254 Nuovi› Più recenti»

Posta un commento

Il tuo commento è in attesa di essere pubblicato,ti invito pertanto a non scrivere più volte lo stesso commento e ad attenderne la moderazione e la successiva pubblicazione.Grazie!