Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log dopo formattazione

Controllo log dopo formattazione Opzioni
Topic Precedente · Topic Sucessivo
giovanitasca
Inviato: Sunday, January 18, 2009 10:45:35 AM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Per le vicessitudini già espresse in recenti forum nelle quali ho avuto il vostro grande sostegno, ho preferito formattare. Ma.. sorpresa delle sorprese, dopo avere formattato, senza alcun programma installato (solo SO + Nod + Firewall) ho notato una esterma lentezza. Faccio una scansione con Mal... e mi ritrovo la famogliola di Vundo che erano presenti prima della formattazione. In cosa ho sbagliato?
Allego log della scansione Malwarebytes' Anti-Malware e logo di HijackThis

Malwarebytes' Anti-Malware 1.33
Versione del database: 1664
Windows 5.1.2600 Service Pack 2

18/01/2009 10.36.59
mbam-log-2009-01-18 (10-36-52).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 151360
Tempo trascorso: 57 minute(s), 14 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 5
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
D:\WINDOWS\system32\wvULBUKd.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvulbukd (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\WINDOWS\system32\wvULBUKd.dll (Trojan.Vundo.H) -> No action taken.
E:XPKey.exe (Trojan.Downloader) -> No action taken.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.44.09, on 18/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programmi\Eset\nod32kui.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programmi\Eset\nod32krn.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programmi\Agnitum\Outpost Firewall\outpost.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\wvULBUKd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9BF99A5-C0BE-433E-AF57-C08F233E52B9}: NameServer = 192.168.1.254
O20 - Winlogon Notify: wvULBUKd - D:\WINDOWS\SYSTEM32\wvULBUKd.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programmi\Agnitum\Outpost Firewall\outpost.exe

--
End of file - 3799 bytes

GRAZIE, Giovanni
Torna in alto
 
Sponsor
Inviato: Sunday, January 18, 2009 10:45:35 AM

 
Torna in alto
 
shapiro
Inviato: Sunday, January 18, 2009 11:54:20 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao

intanto se vuoi un consiglio togli nod32 e metti avira o avg, sono i migliori secondo il mio modesto parere....hai qualche porta aperta che apre il passaggio ai tuoi ospiti

comunque adesso vediamo


apri hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\wvULBUKd.dll

O20 - Winlogon Notify: wvULBUKd - D:\WINDOWS\SYSTEM32\wvULBUKd.dll


premi fix checked.


scarica http://www.hwupgrade.it/forum/archive/index.php/t-1631690.html


Doppio click sul file scaricato e procedere con l'installazione
* Al termine si aprirà il tool;
* Lascia spuntati System Memory, Startup Objects, Disk boot sector
* Spunta Risorse del Computer
* Clicca su Scan
* A fine scansione in caso di rilevazione di infezioni cliccate su Neutralize all, si apriranno dei popup dove scegliere se Cancellare o Disinfettare l'oggetto
* Metti la spunta su Apply to all e clicca su Delete
* Clicca su Reports... , poi su Save to file e salva




Scarica Lop S&D | http://eric.71.mespages.googlepages.com/LopSD.exe
con tutte le applicazioni chiuse e disconnesso
doppio click su LopSD
scegli la lingua E (invio)
1 (ricerca) invio

al termine dello scan riavvia LopSD
questa volta scegli l'opzione 2 (invio)

allega il report C:\LopR.txt insieme ad un nuovo log di hijackthis
Torna in alto
 
giovanitasca
Inviato: Sunday, January 18, 2009 12:36:36 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Ho eseguito la prima parte, ho scaricato il Tool, ma, anche se l'ho scaricato due volte, all'inizio della installazione si blocca e non va assolutamente avanti. Per quel che riguarda l'antivirus farò come dici tu. Vanno bene con Outopost? resto in attesa.
Grazie
Torna in alto
 
giovanitasca
Inviato: Sunday, January 18, 2009 12:38:55 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Dimenticavo di allegare il primo LOG
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.38.11, on 18/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\WINDOWS\system32\userinit.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\SkyTel.EXE
D:\WINDOWS\ALCMTR.EXE
D:\Programmi\Eset\nod32kui.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programmi\Eset\nod32krn.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programmi\Agnitum\Outpost Firewall\outpost.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\regedit.exe
D:\WINDOWS\system32\dumprep.exe
D:\WINDOWS\system32\dumprep.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Documents and Settings\Tascapane\Desktop\setup_7.0.0.290_18.01.2009_12-48.exe
D:\Documents and Settings\Tascapane\Desktop\Virus Removal Tool\is-21SFI\minst.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\runonce.exe
D:\WINDOWS\system32\grpconv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\system32\dumprep.exe
D:\WINDOWS\system32\dwwin.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\Restore\rstrui.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Tascapane\Desktop\setup_7.0.0.290_18.01.2009_12-48.exe
D:\Documents and Settings\Tascapane\Desktop\Virus Removal Tool1\is-38J58\minst.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\runonce.exe
D:\WINDOWS\system32\grpconv.exe
D:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\dumprep.exe
D:\WINDOWS\system32\dwwin.exe
D:\Documents and Settings\Tascapane\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [18be8810] rundll32.exe "D:\WINDOWS\system32\qvrulmmv.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9BF99A5-C0BE-433E-AF57-C08F233E52B9}: NameServer = 192.168.1.254
O20 - AppInit_DLLs: ngfnho.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programmi\Agnitum\Outpost Firewall\outpost.exe

--
End of file - 4849 bytes
Torna in alto
 
shapiro
Inviato: Sunday, January 18, 2009 12:42:26 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
sul desktop dovresti avere una cartella con scritto removal tool o qualcosa del genere- aprila e troverai un'icona start - cliccaci su e inizi la scansione

intanto do' un'occhiata al log
Torna in alto
 
shapiro
Inviato: Sunday, January 18, 2009 12:50:29 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
quando hai finito con la scansione, analizza su virus total questo

D:\Documents and Settings\Tascapane\Desktop\Virus Removal Tool1\is-38J58\minst.exe




http://www.virustotal.com/it/



apri hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:

O4 - HKLM\..\Run: [18be8810] rundll32.exe "D:\WINDOWS\system32\qvrulmmv.dll",b

O20 - AppInit_DLLs: ngfnho.dll


premi fix checked.
Torna in alto
 
giovanitasca
Inviato: Sunday, January 18, 2009 4:04:53 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Casino su tutti i fronti. Il tool consigliato da te ha fatto uno scan ma alla fine non ho trovato nessun report. Surante la scannerizzazione mi ha fatto cancellare due file in quanto mi diceva che dovevano essere per forza cancellati. Comunque al momento mi pare tutto stabile. COn Mal.. ho fatto una scansione. MI ha trovato una ventina di trojan Vundo che ho rimosso con lo stesso programma.
Comunque, ti ripeto al momento tutto pare stabile per cui non farei più niente.
La volta scorsa è successo un casino con l'instalalzione del programma Lop S&D. Lo scherma diventava tutto nero (tipo DOS) e tutto si fermava lì) Ho scaricato avira che al più presto installerò.
Se avrò problemi mi farò sentire.
Grazie, Giovanni
Torna in alto
 
shapiro
Inviato: Sunday, January 18, 2009 4:16:04 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
La volta scorsa è successo un casino con l'instalalzione del programma Lop S&D. Lo scherma diventava tutto nero (tipo DOS) e tutto si fermava lì)


e' il programma che funziona in quel modo

hai analizzato il file?
Torna in alto
 
giovanitasca
Inviato: Sunday, January 18, 2009 8:08:44 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
A dire il vero non ho capito molto (non l'ho postato perchè ti ripeto che tutto funaziona normalmente) ma ho fatto i passaggi così come me li hai descritti.
Ti ringrazio tantissimo e ci risentiremo al prossimo problema.
Giovanni
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log dopo formattazione


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.