rarSFX1/setup.exe

**jackweb** · 26-01-2009, 22:26

Salve..Kasperky mi ha trovato il file sopracitato, precisamente in C: Document and settings\Admin\Impostazioni Locali\Temp
La cosa bella è che quando faccio 'Vai a file' Kaspersky non mi apre nulla e se faccio la ricerca manualmente all'interno della cartella Temp trovo solo RarSFX0 e non RarSFX1. Logicamente la cartella SFX0 sembra vuota.

Sapete dirmi di cosa si tratta..?

Credo sia un trojan, ma non ne ho la certezza. Ho fatto una ricerca veloce e non ho trovato nulla qui nel forum.

Mi dareste una mano per favore???

Anche perchè con il computer aimè ci lavoro.

Grazie

PS: Ho fatto fare un giro veloce a Dr. Web, per lui è tutto a posto...

**Gas75** · 26-01-2009, 23:28

Prova una scansione con HiJackThis, poi posta il log nel relativo sito e fallo analizzare: dovrebbe rilevartelo come sospetto e potrai fixarlo da lì.
Fatto questo, pulisci il registro con Ccleaner.

Poi vediamo se ancora persiste...

**jackweb** · 27-01-2009, 11:16

Fatta la scansione...ove posso postarlo? Non ho ben capito...
Nel sito http://www.trendsecure.com/portal/en...hijackthis/qsg non ho trovato.
Comunque la cosa strana è che stamattina non c'è più la cartella di cui parlavo.
Però tra i file che si eseguono all'accensione c'è ctfmon.exe, lsass.exe, che facendo una ricerca mi è risultato essere pericolosi...magari mi sbaglio.

Grazie Gas75... attendo istruzioni.

**Gas75** · 27-01-2009, 12:25

Se hai fatto la scansione, hai scaricato il programma da qualche parte... ebbene in quello stesso sito puoi inviare il log e poi cliccare Analizza.

Oppure mettilo in un messaggio qui che lo analizzo io.

ctfmon.exe e lsass.exe non sono affatto pericolosi, a meno che non si tratti di virus aventi nomi di file "buoni" ma collocati in un'altra cartella.
Se ci dici in che posizione dell'hard disk si trovano...
Devono stare qui: C:\WINDOWS\system32
Cliccandoci col destro del mouse, in Proprietà trovi i dettagli, tra cui il fatto che sono file Microsoft... Qualora si trattasse di virus omonimi, tali informazioni non sarebbero visibili.

Può darsi che hai qualche "ospite" nel pc che si inventa falsi positivi per farti cancellare file importanti!

**jackweb** · 27-01-2009, 13:11

Ora stò postando da un computer diverso, non posso inviarti il log perchè sto facendo la scansione totale con kaspersky(non connesso a internet) che a quanto pare per ora nn ha trovato proprio nulla!
Però è tutto molto strano....come mai ieri sera mi scattava ogni tot minuti dicendomi Modifica rilevata di Riskware Hidden Object ridandomi C: Document and settings\Admin\Impostazioni Locali\Temp\RarSFX1\setup.exe ed oggi invece non lo rileva più?
Eppure non ho fatto assolutamente nulla! Inoltre come già ti dicevo se seguivo il percorso l'unica cartella che trovavo era RarSFX0 che oggi non c'è più.

Da quello che leggevo on line sembrerebbe essere un Trojan!!!! Porca miseria...

Tutto è nato da una schermata blu...e riavviando poi non mi vedeva più l'HD col sistema operativo.
Però spegnendo e riaccendendo il pc ha ripreso a funzionare ma poi Kaspersky mi scattava avvertendomi del Riskware.

Poi magari ti posto il log....speriamo bene!

Intanto grazie.

**jackweb** · 27-01-2009, 14:05

Kaspersky non ha trovato nulla...Dr.Web ieri sera nemmeno.
Ti invio il log di HiJackThis.

Grazie mille, attendo con ansia la tua lettura del log dato che per me è impossibile capirci qualcosa...

Codice PHP:


Logfile of Trend Micro HijackThis v2.0.2 

Scan saved at 10.06.28, on 27/01/2009 

Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal  Running processes:

 C:\WINDOWS\System32\smss.exe 

C:\WINDOWS\system32\winlogon.exe

 C:\WINDOWS\system32\services.exe 

C:\WINDOWS\system32\lsass.exe

 C:\WINDOWS\system32\Ati2evxx.exe 

C:\WINDOWS\system32\svchost.exe 

C:\WINDOWS\System32\svchost.exe 

C:\WINDOWS\system32\Ati2evxx.exe 

C:\WINDOWS\system32\spoolsv.exe 

C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe 

C:\WINDOWS\Explorer.EXE 

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe 

C:\Programmi\Bonjour\mDNSResponder.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE C:\Programmi\JustWrite Office\ScreenMark.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe 

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 

C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe 

C:\WINDOWS\VM_STI.EXE C:\Programmi\iTunes\iTunesHelper.exe 

C:\Programmi\File comuni\Real\Update_OB\realsched.exe 

C:\WINDOWS\system32\ctfmon.exe 

C:\Programmi\3Com\3Com Wireless USB Utility\Wlan.exe 

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe 

C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe 

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE C:\WINDOWS\system32\Pen_Tablet.exe

 C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programmi\iPod\bin\iPodService.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe C:\Programmi\Nero\Nero 7\Core\nero.exe C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe 

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcrobatInfo.exe 

C:\Documents and Settings\Admin\Desktop\HiJackThis.exe  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.it/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - 

C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - 

C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - 

C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} -

 C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - 

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - 

C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

 C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - 

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - 

C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [ATICCC] "

C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [QuickTime Task] "

C:\Programmi\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en O4 - HKLM\..\Run: [SMKRun] 

C:\Programmi\JustWrite Office\ScreenMark.exe -i O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "

C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [BigDogPath] 

C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera 305 O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "

C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "

C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [3COM] "

C:\Programmi\3Com\3Com Wireless USB Utility\Wlan.exe" O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [DAEMON Tools Lite] "

C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [Google Update] "

C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [EPSON Stylus Photo R285 Series] 

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKE.EXE /FU "C:\WINDOWS\TEMP\E_SB6.tmp" /EF "HKCU" O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ? O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Monitor Apache Servers.lnk = 

C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe O8 - Extra context menu item: Aggiungi a PDF esistente - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Aggiungi ad Anti-Banner - 

C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti selezione in Adobe PDF - res://

C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://

C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - 

C:\Programmi\Bonjour\ExplorerPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - [url]http://download.bitdefender.com/resources/scan8/oscan8.cab[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url] O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 

C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Apache2.2 - Apache Software Foundation -

 C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe O23 - Service: Apple Mobile Device - Apple Inc. - 

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - 

C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - 

C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab -

 C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Bonjour Service - Apple Inc. - 

C:\Programmi\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - 

C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - 

C:\Programmi\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - 

C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: MySQL - Unknown owner - 

C:\Programmi\MySQL\MySQL.exe (file missing) O23 - Service: NBService - Nero AG - 

C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG -

C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - 

C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. -

 C:\WINDOWS\system32\Pen_Tablet.exe  -- End of file - 11327 bytes

**Gas75** · 27-01-2009, 14:29

Il problema non è se c'è un trojan, ma sapere quale sia, per poter agire nello specifico!

Il log purtroppo non è leggibile per l'analisi, non devi pubblicarlo come PHP perché si perdono i backslash (\)...

mentre mi servono tutti gli indirizzi completi,
C:\WINDOWS\System32\smss.exe
e non
C:WINDOWSSystem32smss.exe

**jackweb** · 27-01-2009, 15:21

Eccolo a te...grazie.

LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.06.28, on 27/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\JustWrite Office\ScreenMark.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\3Com\3Com Wireless USB Utility\Wlan.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC KE.EXE
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Programmi\Nero\Nero 7\Core\nero.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcrobatInfo.exe
C:\Documents and Settings\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en
O4 - HKLM\..\Run: [SMKRun] C:\Programmi\JustWrite Office\ScreenMark.exe -i
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera 305
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] "C:\Programmi\3Com\3Com Wireless USB Utility\Wlan.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [EPSON Stylus Photo R285 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC KE.EXE /FU "C:\WINDOWS\TEMP\E_SB6.tmp" /EF "HKCU"
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 11327 bytes

**Gas75** · 27-01-2009, 15:37

Il log mi pare pulito.
Usi qualche programma di Google?
Se no, togli queste voci:
C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

Su quel file e cartella spariti l'unica che mi viene da pensare è che, essendo localizzati in una cartella Temp, siano stati cancellati da qualche Pulitura disco pianificata o Ccleaner...

Cmq per essere più sicuri, hai controllato quei due exe rilevati se sono al loro posto?

Se vuoi un supporto più approfondito, devi procedere con System Scan: scaricalo ed avvialo dopo esserti sconnesso e disattivato l'antivirus. Poi pubblica il report: siccome sarà lungo, ti serve un hosting, tipo ulpoad-drive o rapidshare... In questo caso però non so come analizzare quei dati

, devi aspettare qualcun altro più competente.

**jackweb** · 27-01-2009, 15:58

Di google uso solo la Gmail...nel caso come faccio togliere le voci che mi hai scritto?
Li cancello normalmente?
Ccleaner non l'ho fatto girare.
Gli exe sono al loro posto, grazie.
Ora vedrò...magari seguirò il tuo consiglio con SystemScan.
Comunque sono sempre qui se qualcuno ha degli altri consigli o dritte per capire cosa sia accaduto.

Grazie ancora.

Discussione: rarSFX1/setup.exe

Strumenti discussione

Ricerca discussione

Visualizza

rarSFX1/setup.exe

Permessi di invio