Submit Your Article Forum Rules FAQ About Us
Search the forums:

Tech Support Team

Join Now!Nav Seperator FAQNav Seperator GalleryNav Seperator TutorialsNav Seperator BlogNav Seperator SearchNav Seperator Today's PostsNav Seperator Mark Forums ReadNav Seperator Navigation Right

Hello and Welcome to Tech Support Team! Before you can start posting and answering questions, you'll have to register. Registration is fast, simple and absolutely free! Feel free to browse through existing questions by choosing the forum you want to visit below.


Tech Support Team » Malware Removal & Security » Malware Removal » Some malwares on the PC and the notebook due to infected pendrives

Notices
Before creating a new thread, we ask that you please read our Removal guide first: Malware Removal Guide - Read Before Posting. We also advise you reading this thread before continuing: P2P programs - please remove before posting for help

NOTE: NEVER follow someone elses fix. Just because the symptoms may appear to be the same, it does NOT mean your system has the same malware infection. ALWAYS start a new thread so that a member of our Security Team can take you through the steps of cleaning your computer.

Reply
Thread Tools
 
  #1 (permalink)   Top
Old 2nd January 2010, 11:55 PM
ununpentium's Avatar
Newcomer
  
Join Date: Feb 2009, 12 posts.
Reputation: ununpentium is on a distinguished road
Some malwares on the PC and the notebook due to infected pendrives
All these informations regards only the PC (not the notebook):

Hello.
My parent's computer have been infected some time ago. Nothing worked anymore... my brother after a very hard work, and using lots of tools (also HiJack this, but not only, even more complex tools too, he told me), and rebuilding lots of things, got the computer working again.
But sometimes it doesn't start. If we simply reboot, it starts.
Today it didn't start neither after rebooting. I had to run in safe mode, run System config restore utility and restore the point of 1 January. It worked and booted again.

I read the AntiVir history and found that sometimes, when AntiVir Guard found viruses, my parents made "allow access" (I think by clicking "x" to close the window), expecially from infected pendrives.

These are the "allow access" events made in past (from november to december 2009), found in the AntiVir logs/history:

(the cronological order of these events is of course inverse I think, because I read the events from the latter to the older...):

----------ALLOW ACCESSES MADE IN PAST:------------------------

(in Italian "consenti accesso" means "allow access"):
Nel file 'C:\Documents and Settings\pc_papa\Documenti\yvhbxi.exe'
è stato rilevato un virus o programma indesiderato 'TR/Spy.905368' [trojan].
Azione eseguita: Consenti accesso

Nel file 'C:\Documents and Settings\pc_papa\Documenti\yvhbxi.exe'
è stato rilevato un virus o programma indesiderato 'TR/Spy.905368' [trojan].
Azione eseguita: Consenti accesso

Nel file 'C:\WINDOWS\system32\sshnas.dll'
è stato rilevato un virus o programma indesiderato 'TR/FraudPack.afba' [trojan].
Azione eseguita: Consenti accesso

Nel file 'C:\Documents and Settings\pc_papa\Documenti\yvhbxi.exe'
è stato rilevato un virus o programma indesiderato 'TR/Spy.905368' [trojan].
Azione eseguita: Consenti accesso

Nel file 'C:\WINDOWS\system32\sshnas.dll'
è stato rilevato un virus o programma indesiderato 'TR/FraudPack.afba' [trojan].
azione eseguita: Consenti accesso

Nel file 'E:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\uqgvf.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\uqgvf.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'F:\uqgvf.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'F:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'F:\uqgvf.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'F:\b00ijwpu.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\msw0vks.exe'
è stato rilevato un virus o programma indesiderato 'TR/Delf.rth' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\msw0vks.exe'
è stato rilevato un virus o programma indesiderato 'TR/Delf.rth' [trojan].
Azione eseguita: Consenti accesso

Nel file 'E:\msw0vks.exe'
è stato rilevato un virus o programma indesiderato 'TR/Delf.rth' [trojan].
Azione eseguita: Consenti accesso
-------------------End "allow accesses" made in past ----------------------------------



I updated AntiVir, run a full scan and found something:




-------------AntiVir Report's interesting sections (i made full report, so it is too long)------------------

Avira AntiVir Personal
Data del file di report: domenica 3 gennaio 2010 01:01
....
....
....
C:\Documents and Settings\pc_papa\Documenti\1-1-cartelle tecniche\4 Software\DATI SISTEMA\Downloads\Sistema\DOS\boot disks\Dos5.0.exe
[0] Tipo di archivio: ZIP SFX (self extracting)
--> DOS5.0.IMA
[NOTA] Chiusura inaspettata del file (in Italian it means: unexpected file closing)
[NOTA] Chiusura inaspettata del file
C:\Documents and Settings\pc_papa\Documenti\1-1-cartelle tecniche\4 Software\DATI SISTEMA\Downloads\Sistema\DOS\boot disks\Dos6.22.exe
[0] Tipo di archivio: ZIP SFX (self extracting)
--> DOS6.22.IMA
[NOTA] Chiusura inaspettata del file
[NOTA] Chiusura inaspettata del file

...
...
...

C:\Documents and Settings\pc_papa\Documenti\1-1-cartelle tecniche\4 Software\MSN Msg Plus Live\MsgPlusLive-423.exe
[0] Tipo di archivio: RSRC
--> Object
[1] Tipo di archivio: RAR
--> Sponsor Agreement (es).rtf
[AVVISO] L'archivio è protetto da password. (in Italian it means: the file is password protected)
[AVVISO] L'archivio è protetto da password.
...
...
...
C:\Documents and Settings\pc_papa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
[AVVISO] Impossibile aprire il file! (in Italian it means: not possible open the file)
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\Documents and Settings\pc_papa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
...
...
...
C:\Documents and Settings\pc_papa\Impostazioni locali\Temp\~DFA5F6.tmp
[AVVISO] Impossibile aprire il file!
[NOTA] Si sta tentando di sottoporre a scansione il file mediante il driver snapshot.
C:\Documents and Settings\pc_papa\Impostazioni locali\Temp\~DFA60E.tmp
[AVVISO] Impossibile aprire il file!
[NOTA] Si sta tentando di sottoporre a scansione il file mediante il driver snapshot.
...
...
...
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\A0028347.exe
[RILEVAMENTO] Si tratta del cavallo di Troia (in Italian it means "Trojan Horse") TR/Trash.Gen2
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\A0028360.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen2
...
...
...
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP54\A0033071.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delf.rth
...
...
...
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP57\A0034080.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delf.rth
...
...
...
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\A0043868.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.afba
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\A0043870.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.905368
...
...
...
C:\WINDOWS\system32\CatRoot2\edb.log
[AVVISO] Impossibile aprire il file!
[NOTA] Si sta tentando di sottoporre a scansione il file mediante il driver snapshot.
C:\WINDOWS\system32\CatRoot2\tmp.edb
[AVVISO] Impossibile aprire il file!
[NOTA] Si sta tentando di sottoporre a scansione il file mediante il driver snapshot.
...
...
...
C:\WINDOWS\system32\config\default
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione. (in Italian it means: not possible open the file)
C:\WINDOWS\system32\config\default.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\SAM
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\SAM.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\SECURITY
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\SECURITY.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\software
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\software.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\system
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\config\system.LOG
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
...
...
...
C:\WINDOWS\Temp\Perflib_Perfdata_5cc.dat
[AVVISO] Impossibile aprire il file!
[NOTA] Si sta tentando di sottoporre a scansione il file mediante il driver snapshot.
...

...
...

Avvio della disinfezione (in Italian it means: starting CLEANING process):

C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\A0028347.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '4b6fe893.qua'!
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP41\A0028360.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '4ec6e544.qua'!
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP54\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP54\A0033071.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delf.rth
[NOTA] Il file è stato spostato in quarantena con il nome '4a1f21fc.qua'!
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP57\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP57\A0034080.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Delf.rth
[NOTA] Il file è stato spostato in quarantena con il nome '4a07cf94.qua'!
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\A0043868.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/FraudPack.afba
[NOTA] Il file è stato spostato in quarantena con il nome '48b7c7ec.qua'!
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP62\A0043870.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.905368
[NOTA] Il file è stato spostato in quarantena con il nome '4b6fe894.qua'!


Fine della scansione: domenica 3 gennaio 2010 01:44
Tempo impiegato: 40:55 Minuto(i)

La scansione è stata completamente eseguita..... (in Italian it means: the scanning process has been completely made)...

...
------------------End Avira Antivir FUll Scan Report -------------------------------------



I run the a-squared online scanner, and these are the reports:


------------A-SQUARED REPORTS-----------------------------------

a-squared Web Malware Scanner v. 4.0

Scan settings:

Objects: Memory, Traces, Cookies, C:\, D:\
Scan archives: On
Heuristics: Off
ADS Scan: On

Scan start: 04/01/2010 15.27.45


C:\Programmi\Unlocker\eBay_shortcuts_1016.exe detected: Adware.Win32.ADON!A2

Scanned

Files: 83559
Traces: 373236
Cookies: 340
Processes: 39

Found

Files: 4
Traces: 3
Cookies: 5
Processes: 0

Scan end: 04/01/2010 16.03.09
Scan time: 0.35.24


(but it didn't write these files in the report, so I made a small localized screenshot and I attach it: a-squared.jpg, and I copy it here too):

Trace.File.file-exe-2009.com!A2 3 traces - medium risk
Trace: c:\docume~1\pc_papa\impost~1\temp\a.exe
Trace: c:\docume~1\pc_papa\impost~1\temp\b.exe
Trace: c:\docume~1\pc_papa\impost~1\temp\c.exe

(I googled and found that these are viruses)
(I quarantined them - Here's quarantine report):

a-squared Web Malware Scanner v. 4.0
(C) 2003-2009 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\Programmi\Unlocker\eBay_shortcuts_1016.exe detected: Adware.Win32.ADON!A2
1 c:\docume~1\pc_papa\impost~1\temp\a.exe detected: Trace.File.file-exe-2009.com!A2
2 c:\docume~1\pc_papa\impost~1\temp\b.exe detected: Trace.File.file-exe-2009.com!A2
3 c:\docume~1\pc_papa\impost~1\temp\c.exe detected: Trace.File.file-exe-2009.com!A2----------------- End A-Squared reports -------------------------------


YOUR MALWARE REMOVE GUIDE STEPS:


1 - STEP ONE:

There are no suspicious programs in Add/Remove from Control Panel. These three are "strange" for me, but I don't think are dangerous:

Bootskin
Panda Active Scan 2.0
WinRAR gestione archivi (in ITalian it means: WinRAR files management)

There's also WinRar, and it's OK, I know it. But there is also "WinRar gestione archivi" that I don't know what is it....



2 - STEP TWO:
I run CCleaner as you wrote.


3 - STEP THREE:
It just rebooted because:
...before installing SuperAntiSpyware the mouse got blocked, the caps lock too... some seconds totally blocked... then blue death screen and immediately rebooted automatically...
Installed SuperAntiSpyware... updated it
Run it... made.

Here's the log:

-----------------SUPERAntiSpyware Log---------------

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/04/2010 at 05:50 PM

Application Version : 4.32.1000

Core Rules Database Version : 4441
Trace Rules Database Version: 2265

Scan type : Complete Scan
Total Scan Time : 00:52:26

Memory items scanned : 464
Memory threats detected : 0
Registry items scanned : 5239
Registry threats detected : 0
File items scanned : 67331
File threats detected : 2

Trojan.Unclassified/Loader-Suspicious
C:\DOCUMENTS AND SETTINGS\...\....\LOADER.EXE
C:\DOCUMENTS AND SETTINGS\....\LOADER.EXE
--------------------------- End Super Anti Spyware Log----------




4 - STEP FOUR:
Run Malwarebytes' Anti-Malware.


--------------MBAM log --------------------

Malwarebytes' Anti-Malware 1.43
Versione del database: 3492
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04/01/2010 18.05.02
mbam-log-2010-01-04 (18-05-02).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 107906
Tempo trascorso: 2 minute(s), 5 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
-------------- Fine MBAM Log ----------------------


5 - STEP FIVE: OK! (Installed the latest JRE and removed the older ones with Javara. Then I run CCleaner too).

6 - STEP SIX: I already had installed Hicjack This, but never renamed it. So I uninstalled it and re-installed according to your advices. Did I make good in this way or not? Or was it better to just rename it, without uninstalling and re-installing?
Then I run Hijack This (Renamed!) and here's the log:


-----------HicjackThis log-------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.38.58, on 04/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\sniper.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programmi\Stardock\WinCustomize\BootSkin\BootS kin.exe" /StartupJobs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIE GE.EXE /FU "C:\WINDOWS\TEMP\E_SC9.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1229749989812
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7FB74C-C53A-48EB-964E-76E161E78199}: NameServer = 212.216.112.112,212.216.172.62
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

--
End of file - 6923 bytes
----------------------- END of HijackThis log ----------------------------



This is the situation.
Any advice?

Thanks!
Last edited by ununpentium; 4th January 2010 at 10:48 PM.
Reply With Quote
  #2 (permalink)   Top
Old 9th January 2010, 08:56 AM
ununpentium's Avatar
Newcomer
  
Join Date: Feb 2009, 12 posts.
Reputation: ununpentium is on a distinguished road
It seems clean.
Should I run ComboFix for good measure?
Or other software / online scanners?

Thanks.
Reply With Quote
Reply

Only registered members can participate in forum threads. You must register or log in to contribute.


« Previous Thread | Next Thread »
Thread Tools

Forum Jump


All times are GMT. The time now is 04:21 PM.

Contact Us - Tech Support Team - Terms of Service - Top


Member Login
Forgot Password?



Post A Question!
Useful Links
Main Menu
Home
Forum Rules
FAQ
About Us
Welcome Pack
Search the forums
TST Mobile
Contact Us
Send Message

These are the 18 most used thread tags
Tag Cloud
32-bit cat drivers geforce hardware intel gfxui mobile 4 chipset driers modem monitor network no ring response no signal nvidia soft modem software wifi win7 windows 7
Copyright © Tech Support Team, Inc. All rights reserved.
TechSupportTeam.org is an Privacy Policy and Legal Powered by vBulletin® Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.