O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe

Questo viene su anche da Cain;-)! e lo elimina anche Combofix! Questo è lo stesso Pc del topic di MSE e che ho formattato!!

@ faber, ho capito, hai comprato un PC con Windows preinstallato, la copia di 60 giorni di Office è stata aggiunta dal produttore del tuo computer.

Non c'è, in altri termini, alcuna copia di Office inclusa nel CD/DVD di installazione di Windows, può essere altresì inclusa nel disco di ripristino che ti hanno dato al momento dell'acquisto.

ascolta, io sinceramente non sto capendo più nulla.

Fai una cosa, apri una nuova discussione dove indichi i computer che hai (Esempio: 1)PC da tavolo assemblato con XP Home licenza OEM, Service Pack installato, Browser di default e sistemi di sicurezza installati 2) Portatile marca X, sistema preinstallato e relativo eventuale Service pack, Browser installati, programmi di sicurezza) e i problemi che ognuno dei tuoi sistemi presentano (errori, eventuali malware contratti etc etc).
Non sarebbe male anche che tu indicassi: la data approssimativa dell'acquisto di ogni PC, il processore in uso, la grandezza del disco rigido e se è diviso in più partizioni, la quantità di RAM e se èstato mai formattato.

Grazie

@ leofelix

Eccomi finalmente.
La versione di Office 2003, è quella che esce con il Cd di Windows ed è quella che, nonostante possediamo una licenza di Office 2007, ho dimenticato di disinstallare:) (In realtà mi trovo meglio con Officeopenorg....)...

In realtà avevo postato quel log perché avevo notato dei miglioramenti, ora non ce ne sono più, i browser continuano a non avviarsi e firefox, l'unico che si apre, dopo che lo chiudo rimane comunque attivo e non mi fa spegnere il PC:(....

@ faber, scusa, mi sfugge il motivo per cui tu abbia deciso di postare il log effettuato con uno strumento che ha lo scopo di cercare eventuali infezioni da Bagle.

Ritieni forse di aver distrattamente scaricato qualche programma da emule o da torrent e di averlo anche installato senza prima esserti assicurato che non fosse infetto?

@ faber,

evita l'inserimento di link a siti di terzi, se non riferiti a segnalazioni di software in offerta. Grazie

Domani risponderò alle domande visto che nelle prossime 4 ore avrò da fare (mate), per ora di posto un log di Findykill:

############################## | FindyKill V5.037 |

# User : Gaetano (Administrators) # IBRIDO
# Update on 18/02/2010 by El Desaparecido
# Start at: 22.08.59 | 14/03/2010
# Website : http:..........................
# Contact : ...............................

#
#
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Programmi\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Returnil\RVS3\rvsmon.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe

################## | C: |

Deleted ! C:\infosat.txt

################## | C:\WINDOWS |

################## | C:\WINDOWS\Prefetch |

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Gaetano\Dati applicazioni |

################## | MD5 ... |

################## | CRC32 ... |

################## | Temporary Internet Files |

################## | Registry |

################## | State |

# Safe boot mode : OK

# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Corrupted Files # Reinstalation required |

... OK !

################## | Upload |

Please send the file : C:\FindyKill_Upload_Me_IBRIDO.zip : ---------------

################## | End of Report # FindyKill V5.037 ! |

@ faber, sì che lo puoi fare, anzi lo devi fare.
Devi disinfettare le unità interne ed esterne, e al più presto anche.

Poi. tra qualche giorno, una volta che hai passato Avast più volte e ragionevolmente puoi ritenere di aver disinfettato tutto, lo disinstalli se tanto temi multe inimmaginabile fatte dalla Polizia Postale o dalla G.d.F... che temo abbiano cose più importanti da fare che dare la caccia a te.. per aver installato un programma gratuito sebbene per uso personale.

----------

In quanto alle barrette ecco cosa va fissato:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll

----------------

Il seguente servizio (che viste le funzioni che ha) può essere pericoloso, l'ho visto nei log di parecchi ragazzini che hanno l'abitudine di installare videogiochi e di registrarli con sistemi illegali e poi non si spiegano come mai contraggono costantemente infezioni

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe

Ti serve proprio?
Io non credo.
Tanto vale disabilitare il servizio
start>esegui digita "services.msc" (senza virgolette) dai invio, rintraccia il servizio, disabiitalo e clicca su "applica"

----------------

Inoltre disabilita dall'avvio automatico questa voce (FIX)

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

Windows Live Messenger lo potrai sempre aprire cliccando sull'icona relativa
e il sistema si avvierà più rapidamente (sì, anche disattivando il servizio di cui sopra)

-------------

Altra cosa, non per farmi gli affari tuoi, ma immagino che le onnipresenti versioni di Office 2007 (che nella versione "home" di base, ovvero le più cencia, costano 149.00 Euro l'una) sono state acquistate sempre dalla azienda vero?
O sono solo versioni di prova valide 60 giorni?
Se vai sul sito della Microsoft e dai un'occhiata i prezzi per le edizioni business di MS Office 2007... ti metti le mani nei capelli.
No, perchè Le licenze aziendali non si limitano solo agli antivirus;-)

Non è necessario che tu risponda alle ultime domande, naturalmente.

@ leofelix

Peccato che non possa fare niente del genere:), il pc è aziendale...
Stasera (o domani mattina) scansiono con A-Squared e poi lo disinstallo

Oltre a fare ciò mi diresti i punti di HajackThis che posso fixare?
Comunque avevo già disinstallato tutte le toolbar, non so perché HijackThis le segnali...

@ faber, oltre a provvedere a rimuovere le barre di yahoo, google e MSN per Internet Explorer (dubito che ti possano servire tutte queste toolbar che offrono sostanzialmente le stesse funzioni), che al massimo ti rallentano la navigazione e browser, ti suggerirei caldamente di scaricare Avast antivirus 5 free e di installarlo.
Offre protezione web, protezione programmi di messaggistica istantanea, della posta, programmi P2P, protezione di rete, controlla l'accesso di perfiferiche US, floppy disk e CD/DVD, una protezione da PUP (adware/spyware) e da rootkit (incluse le MBR rootkit), è in italiano ed E' GRATIS.
Questa versione è incredibilmente migliorata. L'ho installata nella macchina virtuale e si comporta alla grande. Ha eliminato la maggior parte dei rogue, spyware/aaware e trojan di test cui l'ho sottoposto (il resto l'ha fatto fuori MalwareBytes' AntiMalware)

http://www.avast.com/free-antivirus-download

P.S disinstalla prima MSE, sembra che Avast 5 non crei problemi con a-squared.

VAI E TORNA VINCITORE, LA TUA FEDE TI HA SALVATO:-)

@ leofelix

Il problema delle chiavette e HD esteri è che secondo me la bootkit si fa un baffo di av o antimalware, quindi vorrei intervenire da linux (anche ora che sono completamente formattate).

@ Wot@n

Per quanto riguarda Chrome installa/disinstalla cose in automatico, me ne sono accorto, però il problema non è lui ma qualcos'altro, perché ti posso assicurare che quando nel sistema non ci sono problemi la navigazione è fulminea e anche i download, ecc...

@ faber,

"Comunque l'unica cosa rallentata nel Pc è l'avvio che ci vuole tipo 3-4 minuti"...

Appunto! E cmq se non riesci ad utilizzare Chrome, eliminano. All'inizio, ma nn so se poi lo hanno eliminato, con l'installazione del programma, dovevi accettare anche il fatto che Google potesse installare o disinstallare, senza avvisarti, tutto quello che voleva! Carino non trovi?

dunque, il log si direbbe pulito.
Però vedo installati ancora MSE e a-squared, come già detto è necessario che tu scelga: o MSE o a-squared antimalware.

Poi hai tantissimi, troppi programmi in esecuzione automatica (quali messenger e Skype per esempio)
Non occorre avere tutti questi programmi in esecuzione automatica, visto che rallentano il sistema e li puoi in ogni caso aprire quando ti servono cliccando sull'icona relativa.

Piuttosto io mi deciderei a disinfettare tutte le unità esterne che hai, dai dischi rigidi alle chiavi USB.

Potresti intanto iniziare installando prima Panda USB Vaccine
http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/

poi passa antivirus e antispyware nelle unità esterne.

P.S mi raccomando, continua ad accettare tutti i file più astrusi per le più strane operazioni che ti mandano via messenger. Clicca anche su tutti i link che ti inviano per scoprire per esempio chi ti avrebbe cancellato dalla lista degli amici, oppure per scoprire la meravigliosa sorpresa che ti avrebbero fatto o i 15.000.000 di Dollari che hai vinto alla Lotteria addirittura senza giocare

@ Wot@n

Diciamo che utilizzo sia skype che msn quotidianamente ma mai contemporaneamente...
Prima di postare il log di hijackthis ho anche eliminato altri BHO :D
Comunque l'unica cosa rallentata nel Pc è l'avvio che ci vuole tipo 3-4 minuti, per il resto l'unico problema è l'impossibilità di utilizzare Chrome e di chiudere i browser, ma questo dopo un pò che avevo eliminato l' MBR rootkit

@ faber,

scusa se mi inserisco, poi lascio tutto lo "sporco" lavoro a leo (anche perchè purtroppo non ho molto tempo per stare collegato), ma secondo me, è un miracolo che il tuo computer parta o che tu riesca a fare qualcosa. Dal log che hai postato sembrano esserci in funzione "tonnellate" di programmi zavorra e/o spazzatura!

E ne cito alcuni, per esempio, tutti o quasi i BHO ( a cominciare dal famigerato AcroIEHelper),

Utilizzi quotidianamente e contemporaneamente tutti quei programmi(es: MSN e Skype)?

Alcuni sono script di msn, uno serve per imbrogliare a prato fioritoXDXD

ecco Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:15:30 , on 11/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
c:\Programmi\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\Microsoft Security Essentials\msseces.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Returnil\RVS3\rvsmon.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMMI\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [MSSE] "c:\Programmi\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1246970552171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246970508218
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Returnil Virtual System Core Service (RVSMONBL) - CJSC Returnil Software - C:\WINDOWS\system32\Returnil\RVS3\rvsmon.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 8180 bytes

Ora ricordo, powermerger, è un programma che unisce due o più files, in modo molto stretto, in modo che gli av non li riconoscono, lo scaricai per fare dei test quando non avevo niente da fare ma poi ho dimenticato tutto...

Non so invece cosa sia quell'altro, iroffer...è possibile che me l'abbia inviato qualcuno da msn, ho un contatto che mi parla spesso di queste cose... io pensavo inizialmente che fosse legato all'MBR rootkit e che era un virus di cui ero infetto, non un file...

@ faber.. ma dove li trovi certi programmi?

http://www.emsisoft.it/it/malware/?Backdoor.Win32.Beastdoor!IK

ho trovato questo "programma" powermerger_142.rar in un forum di mentecatti sedicenti kacker (ma nella realtà dei lamer) ed è infetto dalla backdoor che vedi sopra.

Stessa cosa per l'altro file indicato: serve a disabilitare gli antivirus per fare scherzetti agli amici (anche questo trovato in diversi blog di altri mentecatti sedicenti hacker).

MSE difficilmente riesce a disinfettare files presenti del system restore come conseguenza dovresti disattivare tutti i punti di ripristino.
Ma così facendo corri il rischio di non poter tornare a uno stato precedente del sistema ovvero quando non era infetto.

EDIT: scusa ieri mi era sfuggito il particolare che avevi già usato HitMan Pro

al tempo
ANTBOOT.EXE è un altro programma legittimo, un tool della Kaspersky per la rimozione di MBR Rootkit:-)

http://support.kaspersky.com/viruses/solutions?qid=208280748

@ faber
eccetto questo

Stato: Infetto (eventi: 4)
24/01/2010 9:56:32 Infetto Programma Trojan Backdoor.Win32.Iroffer.1219 hxxp://www.arachnophyle.altervista.org/index_file/svchost/iroffer1.zip/svchost.exe Alto

sono quasi tutti falsi positivi
MBR.EXE è un programma legittimo (da Gmer), così BOOTWIZARD (AVira Boot Sektor Repair Tool).

Vorrei sapere ANTIBOOT.EXE da dove proviene invece:

[ 27/01/2010 5:23:28 Sospetto Riskware PDM.Suspicious driver installation C:\DOCUMENTS AND SETTINGS\GAETANO\DESKTOP\ANTIBOOT\ANTIBOOT.EXE Alto].

E chiederei quindi a Wot@n (o a eventuali altri moderatori presenti) di editare il post di faber facendo sì che i link non siano cliccabili, se infatti scaricate questo
hxxp://www.arachnophyle.altervista.org/index_file/svchost/iroffer1.zip
correte il rischio di infettarvi.

@ faber, scarica e installa HitMan Pro 3.5, attivalo gratis per 30 giorni e fagli fare una immediata scansione, facenfogli mettere in quarantena tutto quello che trova.

Poi cortesemente posta un log di HiJackThis, grazie

Soffermiamoci un attimo su questa riga:
Eliminato Programma Trojan Backdoor.Win32.Agent.aohy C:\System Volume Information\_restore{219819B0-8C07-4A29-91AB-

Per eliminare il Trojan indicato, devi disattivare la possibilità di creare punti di ripristino del computer, azzerare lo spazio dedicato (o cmq, se nn ricordo male, basta disattivare la voce), riavviare ed eventualmente ricreare lo spazio per il ripristino di sistema.

Questo è lo stesso Pc che risultava instabile dopo aver installato MSE, quindi continuerò qui, visto che ho ancora problemi, il sistema, dopo l'eliminazione del Trojan.Clicker rimane comunque molto instabile, inoltre dopo aver eliminato questa bootkit (che devo dire era davvero inprendibile, figuriamoci se un teknico normale ci riusciva a toglierlo, nono...) feci una scansione con Malwarebytes' e mi scordai di postare il log, eccolo:

Stato: Infetto (eventi: 4)
24/01/2010 9:56:32 Infetto Programma Trojan Backdoor.Win32.Iroffer.1219 h ttp://www.arachnophyle.altervista.org/index_file/svchost/iroffer1.zip/svchost.exe Alto
25/01/2010 3:07:26 Infetto Programma Trojan Backdoor.Win32.Agent.anvy h ttp://dlpro.antivir.com/down/windows/bootwizard.exe Alto
13/02/2010 4:06:23 Infetto Programma Trojan Backdoor.Win32.Beastdoor.201.c h ttp://www.cdmp.it/software/cdmp/bin/powermerger_142.rar//Data/Binding/Loader.z Alto
Stato: Sospetto (eventi: 3)
27/01/2010 5:23:28 Sospetto Riskware PDM.Suspicious driver installation C:\DOCUMENTS AND SETTINGS\GAETANO\DESKTOP\ANTIBOOT\ANTIBOOT.EXE Alto
14/02/2010 2:18:22 Sospetto Riskware PDM.Keylogger \DRIVER\PXKBF Medio
16/02/2010 2:50:37 Sospetto Riskware PDM.Suspicious driver installation H:\MBR.EXE Alto
Stato: Eliminato (eventi: 2)
27/01/2010 5:30:41 Eliminato Programma Trojan Backdoor.Win32.Agent.aohy C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Cache\f_00014a Alto
20/02/2010 6:32:53 Eliminato Programma Trojan Backdoor.Win32.Agent.aohy C:\System Volume Information\_restore{219819B0-8C07-4A29-91AB-CB7036C1D579}\RP3\A0000647.exe Alto
Stato: Non infetto (eventi: 1)
05/02/2010 3:12:03 Non infetto Riskware PDM.Suspicious driver installation C:\DOCUMENTS AND SETTINGS\GAETANO\IMPOSTAZIONI LOCALI\TEMP\WE23B.TMP Alto

Soffermiamoci un attimo su questa riga:
Eliminato Programma Trojan Backdoor.Win32.Agent.aohy C:\System Volume Information\_restore{219819B0-8C07-4A29-91AB-

Ogni volta che scansiono con qualcosa trova un file del genere nel "System Volume" al quale non mi fa accedere, lo elimina ma torna a comparire, probabilmente c'è qualche rootkit che lo ricrea, ma Gmer non mi trova niente, nè Rootkit Buster, nè Hitman Pro 3.5., unica mia considerazione è che meravigliosamente questo Pc continua a sfornare malware:)... . Si è anche riavviato da solo qualche volta per evitare, come mi dice il sito MS degli errori, che venissero persi dati importanti...

@ leofelix

Grazie, proverò il programma, comunque ho risolto!! ora mbr.exe non mi rileva più niente.
Comunque con "ho risolto" intendevo dire che ho eliminato il malware, non che avevo escogitato io il sistema:)

@ faber, non ho idea se il sistema da te escogitato abbia funzionato.

Però visto che il sistema è comunque infestato io fossi in te proverei con HitMan Pro 3.5

http://www.surfright.nl/en/hitmanpro

puoi attivare una licenza di prova di 30 giorni (per disinfettare il malware rilevato). Questo programma non offre protezione in tempo reale, quindi si accompagna perfettamente con qualsiasi antivirus e antispyware. Utilizza 7 motori antivirus diversi più le tecnlogia Cloud ed è in grado di debellare il malware più ostico.
La scansione è anche molto veloce.
La licenza costa davvero poco 18 euro all'anno (per 1 PC)
Fammi sapere:-)

P.S tra i motori usati sono presenti:NOD32, Avira, PREVX, a-squared, GData (ovvero BitDefender e Avast)

Ragazzi ho risolto, ecco la procedura.
Deframmentare ed ottimizzare lo spazio libero con MyDefrag per mettere ordine nel' HD.
Senza spegnere il Pc utilizzare UltraWipe e cancellare tutto lo spazio libero.
Senza spegnere con HxD azzerare i settori dal 1 al 62 e i settori di fine partizione del' HD.
Nulla di più facile XD

Ora devo disinfettare un HD esterno e varie chiavette e naturalmente non so come fare:-D

Comunque vorrei fare un plauso a Gmer, l'unico che è stato capace di rilevare qualcosa. Ora mi domando quanta gente ha questo tipo di bootkit e non lo sa...

Appena ho un pò di tempo faccio qualche altra prova e poi mi rivolgerò a megalab:)

a questo punto non penso più niente: sembra quasi che tu non usi Windows XP ma un Commodore 64:-))).

Il MagaLab CD è un CD personalizzato di Bart PE, che dovrebbe permettere l'accesso a un sistema XP inaccessibile normalmente.

A questo punto io mi rivolgerei a San Gennaro, ma poiché - per parafrasare Oscar Wilde - ho assistito a troppi miracoli per poterci credere, chiederei direttamente aiuto a un forum specializzato sulla sicurezza.
Nella fattispecie il forum di megalab.it

So bene chè impossibile, ma ho fatto tutti e tre i tipi di scansione (full/smart/only boot) e tutte sono durate 3 secondi!?

Ho cercato di riutilizzare Boot sector repair dopo una deframmentazione e con av spento ma niente, non me lo fa aprire... potrebbe risolvere qualcosa secondo te il MegalabCD?

@ faber, non è possibile che la scansione con Avira Rescue System duri solo 3 secondi.
Ci sono delle opzioni: la scansione deve essere completa (full)
Inoltre quando si avvia Avira Rescue System è in tedesco, ma si può passare all'interfaccia in inglese (non credo siano stati implentati altri linguaggi)