Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

PSW.Agent.ASTO in ipsec.sys


  • Please log in to reply
3 replies to this topic

#1 Paolo93

Paolo93

  • Members
  • 34 posts
  • OFFLINE
  •  
  • Local time:07:29 PM

Posted 13 November 2012 - 02:42 PM

Hi,i'm Paolo from Italy.
Since i'm italian i hope I'll be able to make you understand what's my problem unless my bad english.
Anyway,yesterday i get an acer aspireone notebook with windows xp system from a friend of mine,i started a scan with AVG and it founded a lot of trojans.
I was able to remove all of them except this PSW.Agent.ASTO located in ipsec.sys
i'm now unable to have internet connection (error 105 when i open google chrome) but i know that this virus could make a lot of damage so i hope this is the only problem
I'll follow your istruction if you'll be so gentle to help me
thank you

Edited by hamluis, 13 November 2012 - 03:00 PM.
Moved from XP to Am I Infected - Hamluis.


BC AdBot (Login to Remove)

 


#2 Broni

Broni

    The Coolest BC Computer


  • BC Advisor
  • 42,716 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Daly City, CA
  • Local time:11:29 AM

Posted 13 November 2012 - 09:02 PM

Welcome aboard Posted Image

Download Security Check from HERE, and save it to your Desktop.

* Double-click SecurityCheck.exe
* Follow the onscreen instructions inside of the black box.
* A Notepad document should open automatically called checkup.txt; please post the contents of that document.

=============================================================================

Please download Farbar Service Scanner (FSS) and run it on the computer with the issue.
  • Make sure the following options are checked:
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
  • Press "Scan".
  • It will create a log (FSS.txt) in the same directory the tool is run.
  • Please copy and paste the log to your reply.

====================================================================================

Please download MiniToolBox and run it.

Checkmark following boxes:
  • Report IE Proxy Settings
  • Report FF Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List last 10 Event Viewer log
  • List Installed Programs
  • List Devices (do NOT change any settings here)
  • List Users, Partitions and Memory size
Click Go and post the result.

=============================================================================

Download Malwarebytes' Anti-Malware (aka MBAM): https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/ to your desktop.

* Double-click mbam-setup.exe and follow the prompts to install the program.
* At the end, be sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
* If an update is found, it will download and install the latest version.
* Once the program has loaded, select Perform quick scan, then click Scan.
* When the scan is complete, click OK, then Show Results to view the results.
* Be sure that everything is checked, and click Remove Selected.
* When completed, a log will open in Notepad.
* Post the log back here.

Be sure to restart the computer.

The log can also be found here:
C:\Documents and Settings\Username\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-date.txt
Or at C:\Program Files\Malwarebytes' Anti-Malware\Logs\log-date.txt

=============================================================================

Download aswMBR to your desktop.
Double click the aswMBR.exe to run it.
If you see this question: Would you like to download latest Avast! virus definitions?" say "Yes".
Click the "Scan" button to start scan.
On completion of the scan click "Save log", save it to your desktop and post in your next reply.

NOTE. aswMBR will create MBR.dat file on your desktop. This is a copy of your MBR. Do NOT delete it.

My Website

p4433470.gif

My help doesn't cost a penny, but if you'd like to consider a donation, click p22001735.gif


 


#3 Paolo93

Paolo93
  • Topic Starter

  • Members
  • 34 posts
  • OFFLINE
  •  
  • Local time:07:29 PM

Posted 14 November 2012 - 03:25 PM

first log
Results of screen317's Security Check version 0.99.54
Windows XP Service Pack 3 x86
Internet Explorer 7 Out of date!
``````````````Antivirus/Firewall Check:``````````````
`````````Anti-malware/Other Utilities Check:`````````
Adobe Reader 9 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent````````
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:: 0%
````````````````````End of Log``````````````````````

second log

Farbar Service Scanner Version: 09-11-2012
Ran by Paolo (administrator) on 14-11-2012 at 10:23:50
Running from "C:\Documents and Settings\Paolo\Desktop"
Microsoft Windows XP Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============
Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.


Connection Status:
==============
Attempt to access Local Host IP returned error: Localhost is blocked: Other errors
There is no connection to network.
Attempt to access Google IP returned error. Other errors
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo IP returned error. Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============
sharedaccess Service is not running. Checking service configuration:
The start type of sharedaccess service is OK.
The ImagePath of sharedaccess service is OK.
The ServiceDll of sharedaccess service is OK.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2009-01-16 10:24] - [2008-04-14 13:00] - 0126976 ____A (Microsoft Corporation) 699EE7F752A25180AEB92C3A0EAEE440

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys
[2009-01-16 10:24] - [2008-04-14 13:00] - 0075264 ____A () 19DD19FB992D6BF67811913B6FEAE577

ATTENTION!=====> C:\WINDOWS\system32\Drivers\ipsec.sys IS INFECTED AND SHOULD BE REPLACED.

C:\WINDOWS\system32\dnsrslvr.dll
[2009-01-16 10:24] - [2009-04-20 18:18] - 0045568 ____A (Microsoft Corporation) B7A1162B1A26DF7B60D5D9500006096C

C:\WINDOWS\system32\ipnathlp.dll
[2009-01-16 10:24] - [2008-04-14 13:00] - 0332288 ____A (Microsoft Corporation) 152C0555925DFE028E3148FD215146BB

C:\WINDOWS\system32\netman.dll
[2009-01-16 10:24] - [2008-04-14 13:00] - 0198144 ____A (Microsoft Corporation) 02815B70FC4CA8611A926176F1C39FC2

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2009-01-16 01:37] - [2008-04-14 13:00] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\srsvc.dll
[2009-01-16 01:38] - [2008-04-14 13:00] - 0171520 ____A (Microsoft Corporation) B3E3DA70A7A76E69B872DE3D06D32C19

C:\WINDOWS\system32\Drivers\sr.sys
[2009-01-16 01:38] - [2008-04-14 13:00] - 0073472 ____A (Microsoft Corporation) 618718CAE288BF7CBD8FCBAB2577D932

C:\WINDOWS\system32\wscsvc.dll
[2009-01-16 10:24] - [2008-04-14 13:00] - 0080896 ____A (Microsoft Corporation) 926D921C93CFF1E19EF4DE3E4C8368CA

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2009-01-16 01:37] - [2008-04-14 13:00] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\wuauserv.dll
[2009-01-16 01:38] - [2008-04-14 13:00] - 0006656 ____A (Microsoft Corporation) CC48415E6C7CBAA441A3D6A6DCCBCFA6

C:\WINDOWS\system32\qmgr.dll
[2009-01-16 01:38] - [2008-04-14 13:00] - 0409088 ____A (Microsoft Corporation) 48C4763A9C8990FB48B73445BEB15D6A

C:\WINDOWS\system32\es.dll
[2009-01-16 10:24] - [2008-07-07 21:27] - 0253952 ____A (Microsoft Corporation) 8360CB9756E598A5C6214EACFB3677C3

C:\WINDOWS\system32\cryptsvc.dll
[2009-01-16 10:24] - [2008-04-14 13:00] - 0062464 ____A (Microsoft Corporation) B6FCBB157E9C8ABDCA4134C535535A8B

C:\WINDOWS\system32\svchost.exe
[2009-01-16 10:24] - [2008-04-14 13:00] - 0014336 ____A (Microsoft Corporation) BB8363ABEC09AA2F9B363484E282117C

C:\WINDOWS\system32\rpcss.dll
[2009-01-16 10:24] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) BC4E0226341AAEC1222336B3AED86BAB

C:\WINDOWS\system32\services.exe
[2009-01-16 10:24] - [2009-02-09 12:22] - 0111104 ____A (Microsoft Corporation) 26845F272435302E0F3322E660A24F7D


Extra List:
=======
Gpc(6) MPFP(8) NetBT(5) PSched(7) Tcpip(3)
0x09000000040000000100000002000000030000000800000009000000050000000600000007000000
ATTENTION!=====> IpSec Tag value should be 4. ATTENTION!=====> IpSec Tag value is missing and it should be 4.

**** End of log ****

third log (i'm sorry this is in italina and i did not found anyway to turn it to english)

MiniToolBox by Farbar Version: 10-11-2012 02
Ran by Paolo (administrator) on 14-11-2012 at 10:25:18
Microsoft Windows XP Service Pack 3 (X86)
Boot Mode: Normal
***************************************************************************

========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.
Hosts file not detected in the default directory
========================= IP Configuration: ================================

Scheda di rete Broadcom 802.11g = Connessione rete senza fili (Media disconnected)
Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller = Connessione alla rete locale (LAN) 2 (Media disconnected)


# ----------------------------------
# Configurazione IP interfaccia
# ----------------------------------
pushd interface ip



popd
# Termine della configurazione IP interfaccia




Configurazione IP di Windows



Si ╦ verificato un errore interno: Richiesta non supportata.



Contattare il Servizio supporto tecnico Microsoft per ulteriori informazioni.



Informazioni aggiuntive: impossibile recuperare i parametri DHCP.

Server: UnKnown
Address: 127.0.0.1

Impossibile trovare l'host google.com.Verificare che il nome sia corretto e riprovare.

Server: UnKnown
Address: 127.0.0.1

Impossibile trovare l'host yahoo.com.Verificare che il nome sia corretto e riprovare.

Impossibile trovare il driver IP. Codice di errore 2,

========================= Winsock entries =====================================

Catalog5 01 mswsock.dll [File Not found] ()
ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"

Catalog5 02 C:\Windows\System32\winrnr.dll [16896] (Microsoft Corporation)
Catalog5 03 mswsock.dll [File Not found] ()
ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"

Catalog9 01 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 02 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 03 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 04 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 05 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 06 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 07 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 08 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 09 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 10 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 11 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 12 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 13 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 14 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 15 C:\Windows\system32\mswsock.dll [247296] (Microsoft Corporation)
Catalog9 16 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 17 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)

========================= Event log errors: ===============================

Application errors:
==================
Error: (11/14/2012 10:23:18 AM) (Source: LoadPerf) (User: )
Description: Scaricamento delle stringhe dei contatori prestazioni per il servizio WmiApRpl (WmiApRpl) non riuscito. Il codice di
errore ╦ il 1∞ DWORD nella sezione dati.

Error: (11/14/2012 10:23:18 AM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/14/2012 10:23:18 AM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/13/2012 11:06:59 PM) (Source: LoadPerf) (User: )
Description: Scaricamento delle stringhe dei contatori prestazioni per il servizio WmiApRpl (WmiApRpl) non riuscito. Il codice di
errore ╦ il 1∞ DWORD nella sezione dati.

Error: (11/13/2012 11:06:59 PM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/13/2012 11:06:59 PM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/13/2012 07:28:55 PM) (Source: LoadPerf) (User: )
Description: Scaricamento delle stringhe dei contatori prestazioni per il servizio WmiApRpl (WmiApRpl) non riuscito. Il codice di
errore ╦ il 1∞ DWORD nella sezione dati.

Error: (11/13/2012 07:28:55 PM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/13/2012 07:28:55 PM) (Source: LoadPerf) (User: )
Description: Le stringhe di prestazione nel valore del Registro delle prestazioni si danneggiano quando si
elabora l'estensione del provider contatori Performance. Il valore BaseIndex del Registro delle
prestazioni ╦ il primo DWORD della sezione dati, il valore LastCounter ╦ il secondo
DWORD della sezione dati e il valore LastHelp ╦ il terzo DWORD della sezione dati.

Error: (11/12/2012 11:39:52 PM) (Source: LoadPerf) (User: )
Description: Scaricamento delle stringhe dei contatori prestazioni per il servizio WmiApRpl (WmiApRpl) non riuscito. Il codice di
errore ╦ il 1∞ DWORD nella sezione dati.


System errors:
=============
Error: (11/14/2012 10:25:27 AM) (Source: Service Control Manager) (User: )
Description: Il servizio NLA (Network Location Awareness) dipende dal servizio Driver protocollo TCP/IP che non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:27 AM) (Source: Service Control Manager) (User: )
Description: Il servizio Driver protocollo TCP/IP non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:26 AM) (Source: Service Control Manager) (User: )
Description: Il servizio NLA (Network Location Awareness) dipende dal servizio Driver protocollo TCP/IP che non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:26 AM) (Source: Service Control Manager) (User: )
Description: Il servizio Driver protocollo TCP/IP non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:25 AM) (Source: Service Control Manager) (User: )
Description: Il servizio NLA (Network Location Awareness) dipende dal servizio Driver protocollo TCP/IP che non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:25 AM) (Source: Service Control Manager) (User: )
Description: Il servizio Driver protocollo TCP/IP non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:25 AM) (Source: Service Control Manager) (User: )
Description: Il servizio NLA (Network Location Awareness) dipende dal servizio Driver protocollo TCP/IP che non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:25 AM) (Source: Service Control Manager) (User: )
Description: Il servizio Driver protocollo TCP/IP non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:24 AM) (Source: Service Control Manager) (User: )
Description: Il servizio NLA (Network Location Awareness) dipende dal servizio Driver protocollo TCP/IP che non ╦ stato avviato per il seguente errore:
%%2

Error: (11/14/2012 10:25:24 AM) (Source: Service Control Manager) (User: )
Description: Il servizio Driver protocollo TCP/IP non ╦ stato avviato per il seguente errore:
%%2


Microsoft Office Sessions:
=========================

=========================== Installed Programs ============================

Acer eRecovery Management (Version: 4.00.3002)
Acer Product Registration (Version: 3.0.0.10)
Acer ScreenSaver (Version: 1.01.0110)
Acer VCM (Version: 4.00.3004)
Adobe Flash Player 11 ActiveX (Version: 11.4.402.287)
Adobe Reader 9 - Italiano (Version: 9.0.0)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2183461) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2360131) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2482017) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2497640) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2530548) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2544521) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2559049) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2586448) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB2618444) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB938127-v2) (Version: 2)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB978207) (Version: 1)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB982381) (Version: 1)
Aggiornamento della protezione per Windows Media Player (KB2378111)
Aggiornamento della protezione per Windows Media Player (KB952069)
Aggiornamento della protezione per Windows Media Player (KB954155)
Aggiornamento della protezione per Windows Media Player (KB968816)
Aggiornamento della protezione per Windows Media Player (KB973540)
Aggiornamento della protezione per Windows Media Player (KB975558)
Aggiornamento della protezione per Windows Media Player (KB978695)
Aggiornamento della protezione per Windows Media Player (KB979402)
Aggiornamento della protezione per Windows Media Player 11 (KB954154)
Aggiornamento della protezione per Windows XP (KB2079403) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2115168) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2121546) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2160329) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2229593) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2259922) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2279986) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2286198) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2296011) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2347290) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2360937) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2387149) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2393802) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2412687) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2419632) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2423089) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2440591) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2443105) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2476490) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2476687) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2478960) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2478971) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2479628) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2479943) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2481109) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2483185) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2485376) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2485663) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2491683) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2503658) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2503665) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2506212) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2506223) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2507618) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2507938) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2508272) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2508429) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2509553) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2510581) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2511455) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2524375) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2535512) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2536276-v2) (Version: 2)
Aggiornamento della protezione per Windows XP (KB2536276) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2544893-v2) (Version: 2)
Aggiornamento della protezione per Windows XP (KB2544893) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2555917) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2562937) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2566454) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2567053) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2567680) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2570222) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2570947) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2584146) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2592799) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2603381) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2618451) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2619339) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2620712) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2621440) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2624667) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2633171) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2639417) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2647518) (Version: 1)
Aggiornamento della protezione per Windows XP (KB2661637) (Version: 1)
Aggiornamento della protezione per Windows XP (KB923561) (Version: 1)
Aggiornamento della protezione per Windows XP (KB938464) (Version: 1)
Aggiornamento della protezione per Windows XP (KB941569)
Aggiornamento della protezione per Windows XP (KB946648) (Version: 1)
Aggiornamento della protezione per Windows XP (KB950762) (Version: 1)
Aggiornamento della protezione per Windows XP (KB950974) (Version: 1)
Aggiornamento della protezione per Windows XP (KB951066) (Version: 1)
Aggiornamento della protezione per Windows XP (KB951376-v2) (Version: 2)
Aggiornamento della protezione per Windows XP (KB951376) (Version: 1)
Aggiornamento della protezione per Windows XP (KB951698) (Version: 1)
Aggiornamento della protezione per Windows XP (KB951748) (Version: 1)
Aggiornamento della protezione per Windows XP (KB952004) (Version: 1)
Aggiornamento della protezione per Windows XP (KB952954) (Version: 1)
Aggiornamento della protezione per Windows XP (KB954211) (Version: 1)
Aggiornamento della protezione per Windows XP (KB954459) (Version: 1)
Aggiornamento della protezione per Windows XP (KB955069) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956391) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956572) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956744) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956802) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956803) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956841) (Version: 1)
Aggiornamento della protezione per Windows XP (KB956844) (Version: 1)
Aggiornamento della protezione per Windows XP (KB957095) (Version: 1)
Aggiornamento della protezione per Windows XP (KB957097) (Version: 1)
Aggiornamento della protezione per Windows XP (KB958215) (Version: 1)
Aggiornamento della protezione per Windows XP (KB958644) (Version: 1)
Aggiornamento della protezione per Windows XP (KB958869) (Version: 1)
Aggiornamento della protezione per Windows XP (KB959426) (Version: 1)
Aggiornamento della protezione per Windows XP (KB960803) (Version: 1)
Aggiornamento della protezione per Windows XP (KB960859) (Version: 1)
Aggiornamento della protezione per Windows XP (KB961501) (Version: 1)
Aggiornamento della protezione per Windows XP (KB969059) (Version: 1)
Aggiornamento della protezione per Windows XP (KB969947) (Version: 1)
Aggiornamento della protezione per Windows XP (KB970238) (Version: 1)
Aggiornamento della protezione per Windows XP (KB970430) (Version: 1)
Aggiornamento della protezione per Windows XP (KB971468) (Version: 1)
Aggiornamento della protezione per Windows XP (KB971657) (Version: 1)
Aggiornamento della protezione per Windows XP (KB971961) (Version: 1)
Aggiornamento della protezione per Windows XP (KB972270) (Version: 1)
Aggiornamento della protezione per Windows XP (KB973354) (Version: 1)
Aggiornamento della protezione per Windows XP (KB973507) (Version: 1)
Aggiornamento della protezione per Windows XP (KB973869) (Version: 1)
Aggiornamento della protezione per Windows XP (KB973904) (Version: 1)
Aggiornamento della protezione per Windows XP (KB974112) (Version: 1)
Aggiornamento della protezione per Windows XP (KB974318) (Version: 1)
Aggiornamento della protezione per Windows XP (KB974392) (Version: 1)
Aggiornamento della protezione per Windows XP (KB974571) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975025) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975467) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975560) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975561) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975562) (Version: 1)
Aggiornamento della protezione per Windows XP (KB975713) (Version: 1)
Aggiornamento della protezione per Windows XP (KB977165-v2) (Version: 2)
Aggiornamento della protezione per Windows XP (KB977816) (Version: 1)
Aggiornamento della protezione per Windows XP (KB977914) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978037) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978251) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978262) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978338) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978542) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978601) (Version: 1)
Aggiornamento della protezione per Windows XP (KB978706) (Version: 1)
Aggiornamento della protezione per Windows XP (KB979309) (Version: 1)
Aggiornamento della protezione per Windows XP (KB979482) (Version: 1)
Aggiornamento della protezione per Windows XP (KB979559) (Version: 1)
Aggiornamento della protezione per Windows XP (KB979683) (Version: 1)
Aggiornamento della protezione per Windows XP (KB979687) (Version: 1)
Aggiornamento della protezione per Windows XP (KB980195) (Version: 1)
Aggiornamento della protezione per Windows XP (KB980218) (Version: 1)
Aggiornamento della protezione per Windows XP (KB980232) (Version: 1)
Aggiornamento della protezione per Windows XP (KB980436) (Version: 1)
Aggiornamento della protezione per Windows XP (KB981322) (Version: 1)
Aggiornamento della protezione per Windows XP (KB981349) (Version: 1)
Aggiornamento della protezione per Windows XP (KB981852) (Version: 1)
Aggiornamento della protezione per Windows XP (KB981957) (Version: 1)
Aggiornamento della protezione per Windows XP (KB981997) (Version: 1)
Aggiornamento della protezione per Windows XP (KB982132) (Version: 1)
Aggiornamento della protezione per Windows XP (KB982214) (Version: 1)
Aggiornamento della protezione per Windows XP (KB982665) (Version: 1)
Aggiornamento della sicurezza per Microsoft Windows (KB2564958)
Aggiornamento per Windows Internet Explorer 7 (KB980182) (Version: 1)
Aggiornamento per Windows XP (KB2141007) (Version: 1)
Aggiornamento per Windows XP (KB2345886) (Version: 1)
Aggiornamento per Windows XP (KB2541763) (Version: 1)
Aggiornamento per Windows XP (KB2607712) (Version: 1)
Aggiornamento per Windows XP (KB2616676) (Version: 1)
Aggiornamento per Windows XP (KB2641690) (Version: 1)
Aggiornamento per Windows XP (KB898461) (Version: 1)
Aggiornamento per Windows XP (KB951072-v2) (Version: 2)
Aggiornamento per Windows XP (KB951978) (Version: 1)
Aggiornamento per Windows XP (KB955759) (Version: 1)
Aggiornamento per Windows XP (KB955839) (Version: 1)
Aggiornamento per Windows XP (KB967715) (Version: 1)
Aggiornamento per Windows XP (KB968389) (Version: 1)
Aggiornamento per Windows XP (KB971029) (Version: 1)
Aggiornamento per Windows XP (KB971737) (Version: 1)
Aggiornamento per Windows XP (KB973687) (Version: 1)
Aggiornamento per Windows XP (KB973815) (Version: 1)
Aggiornamento rapido per Windows Media Player 11 (KB939683)
Aggiornamento rapido per Windows XP (KB2158563) (Version: 1)
Aggiornamento rapido per Windows XP (KB2443685) (Version: 1)
Aggiornamento rapido per Windows XP (KB2570791) (Version: 1)
Aggiornamento rapido per Windows XP (KB2633952) (Version: 1)
Aggiornamento rapido per Windows XP (KB932716-v2) (Version: 2)
Aggiornamento rapido per Windows XP (KB942288-v3) (Version: 3)
Aggiornamento rapido per Windows XP (KB949764) (Version: 1)
Aggiornamento rapido per Windows XP (KB952287) (Version: 1)
Aggiornamento rapido per Windows XP (KB961118) (Version: 1)
Aggiornamento rapido per Windows XP (KB979306) (Version: 1)
Aggiornamento rapido per Windows XP (KB981793) (Version: 1)
AssaultCube v1.1.0.4 (Version: v1.1.0.4)
Assistente per l'accesso a Windows Live (Version: 5.000.818.6)
Atheros Communications Inc.® AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver (Version: 1.0.0.30)
Broadcom Driver v4.170.25.12_Foxconn Installation Program (Version: 4.170.25.12)
Choice Guard (Version: 1.2.87.0)
Click to Call with Skype (Version: 5.6.8153)
Google Update Helper (Version: 1.3.21.123)
Intel® Graphics Media Accelerator Driver
Intel® Matrix Storage Manager
Junk Mail filter update (Version: 14.0.8050.1202)
Launch Manager (Version: 2.0.06)
Microsoft .NET Framework 2.0 Service Pack 2 (Version: 2.2.30729)
Microsoft .NET Framework 3.0 Service Pack 2 (Version: 3.2.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Multi-Targeting Pack (Version: 4.0.30319)
Microsoft Application Error Reporting (Version: 12.0.6012.5000)
Microsoft Compression Client Pack 1.0 for Windows XP (Version: 1)
Microsoft Help Viewer 1.0 (Version: 1.0.30319)
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft National Language Support Downlevel APIs
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Excel MUI (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office File Validation Add-In (Version: 14.0.5130.5003)
Microsoft Office Home and Student 2007 (Version: 12.0.6612.1000)
Microsoft Office OneNote MUI (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint Viewer 2007 (Italian) (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proofing (Italian) 2007 (Version: 12.0.4518.1018)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Shared MUI (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Suite Activation Assistant (Version: 2.9)
Microsoft Office Word MUI (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Silverlight (Version: 4.1.10111.0)
Microsoft Software Update for Web Folders (Italian) 12 (Version: 12.0.6612.1000)
Microsoft SQL Server 2005 Compact Edition [ENU] (Version: 3.1.0000)
Microsoft SQL Server 2008 R2 Management Objects (Version: 10.50.1447.4)
Microsoft SQL Server Compact 3.5 SP2 ENU (Version: 3.5.8080.0)
Microsoft SQL Server System CLR Types (Version: 10.50.1447.4)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual Basic 2010 Express - ENU (Version: 10.0.30319)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 (Version: 9.0.30729.4974)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools (Version: 10.0.30319)
Microsoft Works (Version: 9.7.0621)
MSVCRT (Version: 14.0.1468.721)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
OpenAL
Pacchetto di compatibilitç per Office System 2007 (Version: 12.0.6612.1000)
ParetoLogic PC Health Advisor (Version: 3.1.0.0)
Raccolta foto di Windows Live (Version: 14.0.8051.1204)
Realtek High Definition Audio Driver (Version: 5.10.0.5767)
Segoe UI (Version: 14.0.4327.805)
Strumento di caricamento di Windows Live (Version: 14.0.8014.1029)
Synaptics Pointing Device Driver (Version: 12.2.2.0)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2473228) (Version: 1)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
USB2.0 Card Reader Software (Version: 6.0.6000.75)
Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU (Version: 4.0.8080.0)
Webcam (Version: 1.00.000)
WebFldrs XP (Version: 9.50.7523)
WIDCOMM Bluetooth Software (Version: 5.1.0.4500)
Windows Internet Explorer 7 (Version: 20070813.185237)
Windows Live Call (Version: 14.0.8050.1202)
Windows Live Communications Platform (Version: 14.0.8050.1202)
Windows Live Essentials (Version: 14.0.8050.1202)
Windows Live Mail (Version: 14.0.8050.1202)
Windows Live Messenger (Version: 14.0.8050.1202)
Windows Live Sync (Version: 14.0.8050.1202)
Windows Live Writer (Version: 14.0.8050.1202)
Windows Media Format 11 runtime
WinRAR 4.01 (32-bit) (Version: 4.01.0)
Yontoo Layers Runtime 1.10.01 (Version: 1.10.01)

========================= Devices: ================================


========================= Memory info: ===================================

Percentage of memory in use: 33%
Total physical RAM: 1013.88 MB
Available physical RAM: 678.98 MB
Total Pagefile: 2443.91 MB
Available Pagefile: 2232.6 MB
Total Virtual: 2047.88 MB
Available Virtual: 1970.96 MB

========================= Partitions: =====================================

1 Drive c: (ACER) (Fixed) (Total:143.04 GB) (Free:118.27 GB) NTFS
2 Drive d: (Lexar) (Removable) (Total:3.73 GB) (Free:2.75 GB) FAT32

========================= Users: ========================================

Account utente per \\BEATRICE

Administrator ASPNET bea
Guest HelpAssistant Paolo
SUPPORT_388945a0
Esecuzione comando riuscita.


**** End of log ****

fourth log

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.09.29.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Paolo :: BEATRICE [administrator]

Protection: Enabled

14/11/2012 10.29.44
mbam-log-2012-11-14 (10-29-44).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 207666
Time elapsed: 6 minute(s), 7 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SYSTEM\CurrentControlSet\Services\IPSec (RootKit.0Access.H) -> Quarantined and deleted successfully.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and repaired successfully.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and repaired successfully.

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\WINDOWS\system32\drivers\ipsec.sys (RootKit.0Access.H) -> Quarantined and deleted successfully.

(end)


fifth log

aswMBR version 0.9.9.1707 Copyright© 2011 AVAST Software
Run date: 2012-11-14 10:42:16
-----------------------------
10:42:16.390 OS Version: Windows 5.1.2600 Service Pack 3
10:42:16.390 Number of processors: 2 586 0x1C02
10:42:16.390 ComputerName: BEATRICE UserName: Paolo
10:42:17.453 Initialize success
10:42:37.640 AVAST engine download error: 0
10:42:54.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
10:42:54.093 Disk 0 Vendor: Hitachi_ FB2O Size: 152627MB BusType: 3
10:42:54.125 Disk 0 MBR read successfully
10:42:54.125 Disk 0 MBR scan
10:42:54.140 Disk 0 unknown MBR code
10:42:54.156 Disk 0 Partition 1 00 12 Compaq diag NTFS 6149 MB offset 63
10:42:54.171 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 146476 MB offset 12595200
10:42:54.187 Disk 0 scanning sectors +312578048
10:42:54.281 Disk 0 scanning C:\WINDOWS\system32\drivers
10:43:01.250 Service scanning
10:43:19.109 Modules scanning
10:43:26.890 Disk 0 trace - called modules:
10:43:26.921 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
10:43:26.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8635e030]
10:43:26.953 3 CLASSPNP.SYS[f768dfd7] -> nt!IofCallDriver -> \Device\00000065[0x863c7838]
10:43:26.968 5 ACPI.sys[f75f4620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86349030]
10:43:26.984 Scan finished successfully
10:43:48.765 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Paolo\Desktop\MBR.dat"
10:43:48.781 The log file has been saved successfully to "C:\Documents and Settings\Paolo\Desktop\5.txt"



anyway now psw.agent.asto virus (with other 3 virus) are now in quarantine,but i still can't go on internet.
waiting for next instruction,thx

#4 Broni

Broni

    The Coolest BC Computer


  • BC Advisor
  • 42,716 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Daly City, CA
  • Local time:11:29 AM

Posted 14 November 2012 - 07:18 PM

You're infected with ZeroAccess rootkit.
It'll require elevated help.

Please follow the instructions in ==>This Guide<== starting at Step 6. If you cannot complete a step, skip it and continue.

Once the proper logs are created, then make a NEW TOPIC and post it ==>HERE<== Please include a description of your computer issues, what you have done to resolve them, and a link to this topic.

If you can produce at least some of the logs, then please create the new topic and explain what happens when you try to create the log(s) that you couldn't get. If you cannot produce any of the logs, then still post the topic and explain that you followed the Prep. Guide, were unable to create the logs, and describe what happens when you try to create the logs.

It would be helpful if you post a note here once you have completed the steps in the guide and have started your topic in malware removal. Good luck and be patient.

If HelpBot replies to your topic, PLEASE follow Step One so it will report your topic to the team members.

My Website

p4433470.gif

My help doesn't cost a penny, but if you'd like to consider a donation, click p22001735.gif


 





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users