temp1, temp2, temp3, all'infinito .....

**popolone** · 06-11-2007, 00:12

Ciao a tutti, ho cercato nel forum ma non ho trovato qualcosa di analogo,
ho fatto una scansione in modalità provvisoria con Spybot, e mi ha trovato 28 tra
cartelle, file e chiavi di registrazione, ho cancellato il tutto ma non ho risolto nulla.

Il computer mi è diventato lentissimo e quello che ho scoperto, è che nella cartella
"Documents and settings/Franco/impostazioni locali/Temp"
mi si creano in continuazione dei file Temp1.temp, Temp2.temp, e via dicendo all'infinito,

provo a postarvi il mio Hijackthis.log, sperando che qualche buon anima possa aiutarmi,
o almeno darmi delle dritte in merito:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.45.16, on 05/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCap Svc.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\o2flash.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSch ed.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\File comuni\YourPrivacyGuard\mc.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DTV\DVB-T USB 2.0\RC.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Documents and Settings\paolo\Desktop\Dario\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSVPS System - {FC91E698-C4BA-4564-9B85-659E38FCE154} - C:\WINDOWS\advrepgds.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: The sdrmod - {89DA4F2C-91AE-44B2-84A9-A5D9F682E737} - C:\WINDOWS\sdrmod.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe "
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Salestart] "C:\Programmi\File comuni\YourPrivacyGuard\mc.exe" dm=http://yourprivacyguard.com; ad=http://yourprivacyguard.com
O4 - HKLM\..\Run: [Salestart(1)] "C:\Programmi\File comuni\PCSecureSystem\bm.exe" dm=http://pcsecuresystem.com; ad=http://pcsecuresystem.com
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Programmi\DTV\DVB-T USB 2.0\RC.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O21 - SSODL: hupsrv - {FA7F6CEF-E9AA-4912-B414-B3BB05C9CBE2} - C:\WINDOWS\hupsrv.dll
O21 - SSODL: bindmod - {27908717-DD5A-4B06-ACC8-872EC3316199} - (no file)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCap Svc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSch ed.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O24 - Desktop Component 0: (no name) - http://www.sawadee.it/forum/download.php?id=1665&t=1
O24 - Desktop Component 1: (no name) - http://imageshack.us/?x=my6&myref=ht...r=asc&start=20

--
End of file - 7991 bytes

**Deifobe** · 06-11-2007, 08:58

Oggi ti diremo cosa fare.. Per favore potresti inviare questo file:
C:\Programmi\File comuni\YourPrivacyGuard\mc.exe
a www.virustotal.com e postare i risultati?

Dovesse non darti riferimenti, prova con questo:
C:\Programmi\File comuni\PCSecureSystem\bm.exe

Se non li trovi, visualizza anche i file nascosti.

**popolone** · 06-11-2007, 11:13

Originariamente inviato da Deifobe
Oggi ti diremo cosa fare.. Per favore potresti inviare questo file:
C:\Programmi\File comuni\YourPrivacyGuard\mc.exe
a www.virustotal.com e postare i risultati?

Premetto una cosa giusto per informazione:
Dopo l'infezione ho disinstallato Avast come antivirus, e ci ho messo Pc cillin,
purtroppo data la lentezza, non ho mai potuto fare tutta la scansione, si bloccava ogni momento,
cmq come ho allegato il primo file al sito www.visualtotal.com
immediatamente Pc cillin mi ha avvisato che era un keylogger,
mentre per il secondo file (anche se visualizzo file nascosti ed estensioni), la directory:
C:\Programmi\File comuni\PCSecureSystem\bm.exe, non esiste

Ringrazio Deifobe per l'interessamento. ed ecco quì i risultati (anche se parziali) per il file "mc.exe"

**Deifobe** · 06-11-2007, 12:53

Scarica Avenger, CCleaner e FindAWF (creati una cartella in c:\ o dove vuoi tu e scompattali li')

Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti;
Disattiva il ripristino configurazione di sistema: start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema".

Con hjt fixa:
O2 - BHO: MSVPS System - {FC91E698-C4BA-4564-9B85-659E38FCE154} - C:\WINDOWS\advrepgds.dll
O3 - Toolbar: The sdrmod - {89DA4F2C-91AE-44B2-84A9-A5D9F682E737} - C:\WINDOWS\sdrmod.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Salestart] "C:\Programmi\File comuni\YourPrivacyGuard\mc.exe" dm=http://yourprivacyguard.com; ad=http://yourprivacyguard.com
O4 - HKLM\..\Run: [Salestart(1)] "C:\Programmi\File comuni\PCSecureSystem\bm.exe" dm=http://pcsecuresystem.com; ad=http://pcsecuresystem.com
O21 - SSODL: hupsrv - {FA7F6CEF-E9AA-4912-B414-B3BB05C9CBE2} - C:\WINDOWS\hupsrv.dll
O21 - SSODL: bindmod - {27908717-DD5A-4B06-ACC8-872EC3316199} - (no file)

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

files to delete:
C:\WINDOWS\advrepgds.dll
C:\WINDOWS\sdrmod.dll
C:\WINDOWS\hupsrv.dll
C:\Programmi\File comuni\YourPrivacyGuard\mc.exe
C:\Programmi\File comuni\PCSecureSystem\bm.exe

folders to delete:
C:\WINDOWS\privacy_danger

Clicca sul pulsante "Done", poi sul semaforo verde, rispondi Yes per 2 volte.
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Esegui CCleaner; in opzioni avanzate togli la spunta su "Cancella i file temp. piu vecchi di 48 ore".
Ripulisci sia i file temporanei e cookie che il registro.

Esegui [b]FindAWF[/i] (scegli opzione "1") e salva il report.

Riattiva il ripristino configurazione di sistema e ri-nascondi i file nascosti.

Posta il log di hjt e i report di avenger e FindAWF.

NB: ora non posso cercarle. Stasera controllero' queste:
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll

Hai gia' fatto tanto, non preoccuparti. Grazie a te

ciao

**popolone** · 06-11-2007, 15:38

Grande Deifobe

non sò proprio come ringraziarti, ma una cena sarebbe il minimo dovuto.......
grande non solo il forum, ma pure i suoi utenti

per nota, ora il PC và bene non ci sono rallentamenti e nemmeno mi crea più quei file temp,
sono riuscito a fare lo scan con Pc cillin, ho aprofittato anche per eliminare un sacco di robaccia,
solamente dietro le tue istruzioni una cosa non ho capito, come si crea il log con Avenger,
cmq ti le posto gli altri richiesti:

-------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.44.53, on 06/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Documents and Settings\paolo\Desktop\Dario\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe "
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O21 - SSODL: hupsrv - {FA7F6CEF-E9AA-4912-B414-B3BB05C9CBE2} - (no file)
O21 - SSODL: bindmod - {27908717-DD5A-4B06-ACC8-872EC3316199} - (no file)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O24 - Desktop Component 0: (no name) - http://www.sawadee.it/forum/download.php?id=1665&t=1
O24 - Desktop Component 1: (no name) - http://imageshack.us/?x=my6&myref=ht...r=asc&start=20

--
End of file - 5624 bytes
------------------------------------------------------------------------------
------------------------------------------------------------------------------

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\PROGRA~1\SUPERA~1\BAK

20/07/2006 09.24 1.257.472 SUPERAntiSpyware.exe
1 File 1.257.472 byte
2 Directory 55.850.364.928 byte disponibili
Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
23/03/2006 11.13 77.824 hkcmd.exe
23/03/2006 11.17 118.784 igfxpers.exe
23/03/2006 11.17 94.208 igfxtray.exe
09/07/2001 10.50 155.648 NeroCheck.exe
5 File 461.824 byte
2 Directory 55.850.360.832 byte disponibili
Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 55.850.360.832 byte disponibili
Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\PROGRA~1\WILDTA~1\APPS\BAK

14/09/2004 00.36 267.216 GameChannel.exe
1 File 267.216 byte
2 Directory 55.850.360.832 byte disponibili
Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\PROGRA~1\YAHOO!\MESSEN~1\BAK

13/09/2006 13.17 4.621.816 YAHOOM~1.EXE
1 File 4.621.816 byte
2 Directory 55.850.360.832 byte disponibili
Il volume nell'unit… C Š N01320
Numero di serie del volume: 78E3-320C

Directory di C:\PROGRA~1\OPTICA~1\SCROLL~1\4.0\BAK

09/11/2001 07.47 356.352 MOUSE32A.EXE
1 File 356.352 byte
2 Directory 55.850.360.832 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1257472 20 Jul 2006 "C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpywar e.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\recover\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
77824 23 Mar 2006 "C:\recover\WINDOWS\system32\hkcmd.exe"
77824 23 Mar 2006 "C:\WINDOWS\system32\bak\hkcmd.exe"
118784 23 Mar 2006 "C:\recover\WINDOWS\system32\igfxpers.exe"
118784 23 Mar 2006 "C:\WINDOWS\system32\bak\igfxpers.exe"
94208 23 Mar 2006 "C:\recover\WINDOWS\system32\igfxtray.exe"
94208 23 Mar 2006 "C:\WINDOWS\system32\bak\igfxtray.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
267216 14 Sep 2004 "C:\Programmi\WildTangent\Apps\bak\GameChannel.exe "
4621816 13 Sep 2006 "C:\Programmi\Yahoo!\Messenger\bak\YAHOOM~1.EX E"
356352 9 Nov 2001 "C:\Programmi\OPTICAL MOUSE\SCROLL MOUSE\4.0\bak\MOUSE32A.EXE"

end of report

Dire grazie mi sembra proprio una stupidata, ma vedere che altri ti aiutano gratuitamente,
dovrebbe far riflettere a molti.

**Deifobe** · 06-11-2007, 18:33

fixa:
O21 - SSODL: hupsrv - {FA7F6CEF-E9AA-4912-B414-B3BB05C9CBE2} - (no file)
O21 - SSODL: bindmod - {27908717-DD5A-4B06-ACC8-872EC3316199} - (no file)

Il log lo trovi in c:\avenger.
tra un po' te aggiungo un altro.. (hai dei file doppi)

**Deifobe** · 06-11-2007, 20:53

attendo il log

postamelo oppure controlla tu che siano tutti "completed successfully".
questo è script per avenger

files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\recover\WINDOWS\system32\ctfmon.exe
C:\recover\WINDOWS\system32\hkcmd.exe
C:\recover\WINDOWS\system32\igfxpers.exe
C:\recover\WINDOWS\system32\igfxtray.exe

files to move:
C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware .exe | C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\WildTangent\Apps\bak\GameChannel.exe | C:\Programmi\WildTangent\Apps\GameChannel.exe
C:\Programmi\Yahoo!\Messenger\bak\YAHOOM~1.EXE | C:\Programmi\Yahoo!\Messenger\YAHOOM~1.EXE
C:\Programmi\OPTICAL MOUSE\SCROLL MOUSE\4.0\bak\MOUSE32A.EXE | C:\Programmi\OPTICAL MOUSE\SCROLL MOUSE\4.0\MOUSE32A.EXE

Postami il log..

poi... vai alla cartella c:\recover e prendi nota di tutto quello che eventualmente c'è...
Postami anche un nuovo report di FindAWF

**popolone** · 08-11-2007, 06:58

Scusami se ti rispondo in ritardo ma purtroppo è successo un'imprevisto

l'HD del mio notebook, (quello in cui mi stavi dando una mano),
aveva una sola partizione da 80 GB, così nel frattempo adoperando Partitio magic,
cosa fatta un centinaio di volte, ho voluto fargli una partizione di almeno 20 GB
in modo da salvarmi un backup, e non incorrere più in problemi come questi.

Purtroppo qualcosa è andata storta e non sono più riuscito ad accedere al sistema operativo,
neanche tentando si sovrascriverlo con lo stesso Win XP,
da quì non mi è rimasto niente altro da fare se no un bel Format, con enorme dispiacere
per tutte le cose che ho perso

e Ri

P.S. ...... se passi da queste parti la cena è sempre valida ricordalo,

grazie per il tuo aiuto e la tua disposizione

**Deifobe** · 08-11-2007, 10:46

Mi dispiace

...inutile dirti che gia' immaginavo qualcosa. Telepatia? Naaaa: eri stato troppo preciso nel rispondere il primo giorno.. mi sembrava strano il tuo silenzio.

Magari la prossima volta chiedi sempre prima di fare qualche intervento su pc con "problemi". Io non avrei saputo consigliarti ma altre persone sicuramente si. Vabbe', oramai e' andata..
ciao

ps: guarda che sto ancora valutando se mandarti o no la parcella a casa

Discussione: temp1, temp2, temp3, all'infinito .....

Strumenti discussione

Ricerca discussione

Visualizza

temp1, temp2, temp3, all'infinito .....

Ufff

Permessi di invio