Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Sette virus dopo formattazione! (in assistenza) Opzioni
lukeluke
Inviato: Thursday, October 13, 2011 9:19:32 PM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao a tutti! Ho ritirato da poco il pc lasciato in assistenza,per una formattazione e un controllo generale. Appena apro il pc trovo 7 malwares trovati da Malwarebytes.Uso Windows XP professional,versione 2002.Potete dare uno sguardo ai log creati? Grazie davvero
Questi i malwares trovati da Malwarebytes.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\System Volume Information\_restore{4479BDDC-E95C-4D37-9D13-40952ECA166B}\RP5\A0002687.exe (Application.FindKey) -> No action taken.
C:\System Volume Information\_restore{4479BDDC-E95C-4D37-9D13-40952ECA166B}\RP5\A0002689.exe (Hacktool.WGAFix) -> No action taken.
C:\System Volume Information\_restore{4479BDDC-E95C-4D37-9D13-40952ECA166B}\RP5\A0002692.exe (Malware.Tool) -> No action taken.

ECCO IL LOG di HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21.10.44, on 13/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17099)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\lxczcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Ask.com\Updater\Updater.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programmi\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Lexmark 1200 Series\lxczbmon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ApnUpdater] "C:\Programmi\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [lxczbmgr.exe] "C:\Programmi\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programmi\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: lxcz_device - - C:\WINDOWS\system32\lxczcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6775 bytes
Sponsor
Inviato: Thursday, October 13, 2011 9:19:32 PM

 
cbbusto
Inviato: Friday, October 14, 2011 12:00:25 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao gianluca, si tratta sempre dello stesso pc della discussione di giugno/luglio ?
I file trovati da Malwarebytes li puoi eliminare.
Per quanto riguarda HJT installando avira non dovevi installare la Ask toolbar, allora chiudi tutti i programmi e disconnesso da internet fixa le seguenti voci:

C:\Programmi\Ask.com\Updater\Updater.exe

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [ApnUpdater] "C:\Programmi\Ask.com\Updater\Updater.exe"

Poi fai una pulizia con Ccleaner compreso il Registro.
Se il pc funziona bene ti consiglio di fare un'immagine del sistema con un programma apposito, leggi la guida di alfonso per un pc sicuro, QUI così in caso di problemi non dovrai più formattare ma basterà fare il ripristino dell'immagine e in pochi minuti tornerà tutto perfettamente funzionante.
Un saluto. Speak to the hand
lukeluke
Inviato: Friday, October 14, 2011 12:35:50 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao Cbbusto! Da quanto tempo! Si il pc è lo stesso della famosa discussione.Alla fine lo portai in assistenza ,non essendo capace io di fare altro.Dopo averlo messo sotto torchio,non mi hanno trovato nulla sull'hardware,e lo hanno semplicemente formattato. I file infetti li ho trovati appena ho acceso il pc fresco di formattazione :-( Cosa è la Ask toolbar? Avira me lo ha installato chi me lo ha formattato.Tra l'altro ho notato che durante la scansione il pc emette dei rumori sgradevoli,che non emetteva con Avast.E' un brutto segnale?
Riguardo CCleaner,devo eseguire la pulizia su tutto o ci sono delle voci che devo lasciare senza spunta?
Un abbraccio.
cbbusto
Inviato: Friday, October 14, 2011 1:13:08 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
La ASK è una toolbar che può creare dei problemi quindi è consigliabile non installarla.
Con Ccleaner in pulizia scheda windows: Internet Explorer spuntale tutte meno l'ultima.
Esplora rosorse spunta le prime 4.
Sistema metti la spunta fino a Cache DNS non spuntare le ultime 3
Avanzate spunta: vecchi dati prefetch - File log IIS - Disinstallatori Aggiornamenti di windows.

Scheda Applicazioni: se hai Firefox spunta le prime 5 voci.
Applicazioni, tutte.
Internet, tutte.
Multimedia, tutte.
Utilità, nessuna
Windows,tutte.
Registro, spunta tutte le voci, quando ti viene chiesto di fare il backup, acconsenti.

Menu Opzioni, scheda impostazioni: spunta cerca automaticamente gli aggiornamenti.
tipo cancellazione scegli sicura e nella finestra sotto scegli Sovrascrittura avanzata 3 passaggi.
Scheda Cookie: nella parte sinistra scegli quelli dei siti conosciuti che visiti spesso e li sposti a destra così non vengono eliminati durante la pulizia.
Scheda avanzate: spunta-chiedi se salvare un backup dei problemi del registro.
Per il rumore che dici bisognarebbe sentirlo comunque il sw non fa rumori, non credo sia un problema.
Ricordati di fare l'immagine del sistema è molto importante.
Ti saluto
lukeluke
Inviato: Friday, October 14, 2011 9:56:55 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao!!!Riguardo i malwares trovati da Malwarebites ho dimenticato di dirti una cosa. I primi tre forse derivano dal fatto che ho volontariamente disattivato gli aggiornamenti automatici per Windows Xp. Inoltre mi era stato disatttivato il firewall di Windows e poi l'ho riattivato. Posso ignorarli o riconfermi che devo eliminarli?
Riguardo la disattivazione di Ask-toolbar io ricordavo che la sua non installazione provoca il non funzionamento del web-guard di Avira. Spuntando le voci di Hijackthis the mi hai suggerito,ottengo solo una disattivazione?Potrebbe creare comunque un non funzionamento della Web-Guard di Avira?.Riguardo invece gli ultimi tre file infetti di Malwarebites ti ho mandato un messaggio privato in quanto il problema è molto più complesso.Grazie ancora!!!
cbbusto
Inviato: Friday, October 14, 2011 10:57:08 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
lukeluke ha scritto:
Ciao!!!Riguardo i malwares trovati da Malwarebites ho dimenticato di dirti una cosa. I primi tre forse derivano dal fatto che ho volontariamente disattivato gli aggiornamenti automatici per Windows Xp. Inoltre mi era stato disatttivato il firewall di Windows e poi l'ho riattivato. Posso ignorarli o riconfermi che devo eliminarli?
Riguardo la disattivazione di Ask-toolbar io ricordavo che la sua non installazione provoca il non funzionamento del web-guard di Avira. Spuntando le voci di Hijackthis the mi hai suggerito,ottengo solo una disattivazione?Potrebbe creare comunque un non funzionamento della Web-Guard di Avira?.Riguardo invece gli ultimi tre file infetti di Malwarebites ti ho mandato un messaggio privato in quanto il problema è molto più complesso.Grazie ancora!!!


Ti ho risposto in PM. Ciao
lukeluke
Inviato: Friday, October 14, 2011 11:18:01 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Dimenticavo questo ulteriore file messo in quarantena da Malwarebites:
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle)
Lo elimino o lo lascio in quarantena?
Grazie :-)
cbbusto
Inviato: Friday, October 14, 2011 2:09:55 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
lukeluke ha scritto:
Dimenticavo questo ulteriore file messo in quarantena da Malwarebites:
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle)
Lo elimino o lo lascio in quarantena?
Grazie :-)

Elimina.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.