Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » per il mitico monsee "lista possibile malware analizzare Hijacked"

per il mitico monsee "lista possibile malware analizzare Hijacked" Opzioni
Topic Precedente · Topic Sucessivo
nuvolaneuve
Inviato: Friday, April 03, 2009 9:54:51 PM
Rank: Member

Iscritto dal : 6/9/2007
Posts: 0
aiuto!!!!!
dopo scansione con advanced system care, sono stato avvisato di possibile malware e settaggio Hijacked
il sistema operativo è windows vista, mi sapete dire quale è il malware da eliminare?
grazie dell'aiuto
allego elenco possibile problemi:

Logfile of Advanced SystemCare 3 Security Analyzer
Scan saved at 21.52.32, on 03/04/2009
Platform: Windows Vista (WinNT 6.0)
MSIE: Internet Explorer v8.0 (8.0.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe
C:\Program Files\CyberLink\PlayMovie\PMVService.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Users\USER\AppData\Local\couuacg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\USER\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AUG2LVVT\windows-kb890830-v2.8[1].exe
c:\5946eb016a6bf1bf8408\mrtstub.exe
C:\Users\USER\AppData\Local\Temp\MRT.exe
C:\Users\USER\AppData\Local\Temp\MRT.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Browser Address Error Redirector - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [couuacg] "c:\users\user\appdata\local\couuacg.exe" couuacg
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\CyberLink\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} -
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1c9a4b13f040f47) (gupdate1c9a4b13f040f47) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown - C:\Program Files\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown - %ProgramFiles%\Windows Media Player\wmpnetwk.exe
Torna in alto
 
Sponsor
Inviato: Friday, April 03, 2009 9:54:51 PM

 
Torna in alto
 
monsee
Inviato: Saturday, April 04, 2009 5:26:44 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Mi pare assai sospetta la voce couuacg.exe, che non mi par di ricordare esista da nessuna parte...
Che roba è? Siamo sicuri che non sia un "fetecchione"? (insomma: lo conosci? è amico tuo?)
Non escluderei che le sottostanti voci possan suggerire un'infezione "tipo Vundo"...

c:\5946eb016a6bf1bf8408\mrtstub.exe

C:\Users\USER\AppData\Local\Temp\MRT.exe

C:\Users\USER\AppData\Local\Temp\MRT.exe

Sicuramente da "fixare", la voce sottostante:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
[non perché ci sia qualcosa di maligno, ma -più semplicemennte- perché non c'è più alcun file legato a tale stringa]

Strettamente collegato all'infezione che io sospetto tu abbia (Vundo?... o qualche suo compagnuccio di merende?), poi, è il valore sottostante:
O4 - HKCU\..\Run: [couuacg] "c:\users\user\appdata\local\couuacg.exe" couuacg

Non m'infonde ficucia nimmanco il seguente:
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
che ti consiglio caldamente di "fixare" (sia perché trattasi di Processo assai misterioso, sia perché cerca di spacciarsi per un Pocesso HP... ma io non l'ho trovato da nessuna parte... sia perché potrebbe essere collegato con qualche fetecchio, sia perché non c'è motivo alcuno di metterlo nello "startup")...

Se non ne hai necessità pressante, ti suggerisco di "fixare" anche:
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} -
... perché ho la sensazione che serve a molto poco e complichi la vita.

Sei "indietro di Java": tu hai la versione "update 11", oggi c'è la versioen 13! Ti suggerisco "molto caldamente" di scaricare l'installaer ofline del Java Runtime pià recente (l'update 13), poi disinstallare il tuo Java Runtime (che è la versione 11), dare una ripulita al Registro di Sistema con CCleaner, RIAVVIARE il computer e, infine, installare il Java Runtime update 13 (puoi scaricale l'installer offile per Windows anche a partir da Aiutamici).

Personalmente, sono abbastanza allergico alla toolbar di Google (ma non ti suggerirò di liberartene, giacché può essere istruttivo anche far esperienze negative, qualche volta... e -poi- "de gustibus"...)
Il firewall di Windows, in Vista, è assai migliore di quello per XP (perché analizza anche le connessioni "in uscita", cone che quello di XP, invece, non fa), ma -personalmente- non reputo valga comunque gran che...
Ti suggerisco un firewall migliore in alternativa (disabilitando quello di Windows): ad esempio OnlineArmor 3.0 Free (che è disponibile gratuitamente anche "in combinazione" con A-squared 4.0 Free) oppure PC Tools Firewall Plus... Se la lingua inglese non ti fa disturbo, è molto valido anche COMODO Firewall Pro (gli ultimi due che ho citato son scaricabili da Aiutamici). Ricordati di disabilitare la "Protezione di rete" di Avast!, sennò si andrà ad azzuffare col firewall...

Detto questo, attendi conferma da gente più esperta e capace di me (r16, Alfonso, Shapiro, Steven75, Pidue, etc...)... io, con i LOG (com'è -urbi et orbi- arcinoto), non ci ho mai "acchiappato" più di tanto...
Torna in alto
 
r16
Inviato: Sunday, April 05, 2009 12:30:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Monsee, e anche a te nuvolaneuve .
Questi file:
c:\5946eb016a6bf1bf8408\mrtstub.exe
C:\Users\USER\AppData\Local\Temp\MRT.exe
C:\Users\USER\AppData\Local\Temp\MRT.exe
Vengono dai più, passati per Malware. In realtà essi fanno parte del Tool MRT (microsoft removal tool) della Microsoft.
Che li si elimini, o si lascino dove si trovano non cambia niente.
Personalmente, io eliminerei lo stesso tool (MRT ) che non serve a niente.

Diverso è il discorso di questo file:
couuacg.exe
Questo è un navipromo, e và eliminato:
Suggerisco per la rimozione completa, una scansione con Combofix:

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)
*********************************************************************************************************

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - HKCU\..\Run: [couuacg] "c:\users\user\appdata\local\couuacg.exe" couuacg

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Torna in alto
 
monsee
Inviato: Sunday, April 05, 2009 4:25:51 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Applause Applause Applause Grazie mille, r16!
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » per il mitico monsee "lista possibile malware analizzare Hijacked"


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.