Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Controllo Opzioni
devicepenguin
Inviato: Friday, August 31, 2012 10:05:31 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 421
Sera.
Prima vorrei fare una domanda.
L'altro ieri sono andato a casa di amici per fare i primi (tutti) gli aggiornamenti sul mio Seven 32 Bit appena reinstallato.
Non avevo ancora installato l'antivirus (per velocizzare la pratica)
e nel mentre aspettavo sentivo la ragazzina nella cucina che si incavolava col suo PC.
Al che gli ho chiesto cosa non andava e effettivamente il PC aveva problemi.
Prima scansione con Hitman Pro,mi rilevava sinowal e Confiker , ma non riusciva ad eliminare (andava praticamente in loop)

Malwarebytes mi rilevava tre infezioni da sinowal e le rimuoveva (strano - non mi chiede il riavvio)
Comunque riavvio lo stesso,ma poi procediamo con una formattazione (da partizione recovery)

La domanda è (forse mi preoccupo troppo a volte,ma proprio per questo chiedo a chi ne sa più di me)

E' possibile che (visto il come si propaga e cosa riesce a fare Sinowal) tramite Wireless quel coso è andato a finire anche nel mio computer oltre ad altri due computer che erano già in rete? (sulla stessa Lan)

Ora comunque posto il log

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:47:42, on 31/08/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16448)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\DatacardService\DCSHelper.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Rainmeter\Rainmeter.exe
C:\Program Files\Mobile Partner\Mobile Partner.exe
C:\Hij-CCleaner-Varie\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Sab\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Startup: Rainmeter.lnk = C:\Program Files\Rainmeter\Rainmeter.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0609849-641B-40F9-8CB1-11A98614F464}: NameServer = 212.52.97.25 193.70.152.25,198.153.192.1,198.153.194.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: DCService.exe - Unknown owner - C:\ProgramData\DatacardService\DCService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe

--
End of file - 6339 bytes


Grazie.
Sponsor
Inviato: Friday, August 31, 2012 10:05:31 PM

 
r16
Inviato: Friday, August 31, 2012 10:22:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Commenta:
E' possibile che (visto il come si propaga e cosa riesce a fare Sinowal) tramite Wireless quel coso è andato a finire anche nel mio computer oltre ad altri due computer che erano già in rete?

No.
Il Sinowal (infezione al Master Boot Record) di solito per funzionare, è "accompagnato" da altri virus.
La sua peculiarità, è quella di rigenerare il virus, in caso di eliminazione parziale.
Ma codesti virus, di solito vengono scaricati (inconsapevolmente) dall'utente.
Non si propagano via Wireless.
Attenzione, ho detto via Wireless non via periferiche esterne.
Con chiavette o HD esterni, è possibile, che il pc si infetti. (per mezzo del file Autorun.inf creato dallo stesso virus))
devicepenguin
Inviato: Friday, August 31, 2012 10:34:51 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 421
Ciao r16.
La mia usb la dovetti usare e inserire in quel computer per via che non mi faceva andare sul sito di Hitman e inoltre avevo off line tutti i programmi che mi servivano per l'occorrenza ,ma l'ho inserita solo dopo che Malwarebyets aveva (a suo dire) eliminato le tre infezioni.

Nel mio PC l'ho inserita solo dopo quando avevo Avira installato infatti dalla scansione sulla penna mi sono usciti due virus: un autorun e un trojan che adesso non ricordo il nome (eliminati tutti e due)

Ma da un log di Hij si riuscirebbe a vedere se un PC è infettato da questo rootkit?

Hai dato intanto un occhiata minuziosa al mio Drool

tdsskiller dice che è tutto ok. La stessa cosa per mbr.exe e MBRCheck.

Vorrei essere sicuro che è tutto come deve essere.
Intanto ho il problema che la mia Key Wind reimposta ad ogni avvio dei dns suoi e non vuole mantenere le impostazioni automatiche

Faccio prima così http://www.istitutomajorana.it/forum/Thread-Problemino-con-Key-Wind Speak to the hand
r16
Inviato: Friday, August 31, 2012 11:46:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Ma da un log di Hij si riuscirebbe a vedere se un PC è infettato da questo rootkit?

Impossibile.
Bisogna mettersi in testa che HJT è un software obsoleto, e inaffidabile. (specie per S.O a 64 bit)
E' fermo da troppi anni, e non riesce più nemmeno a identificare, le infezioni più comuni.
Figuriamoci un rootkit.
Commenta:
Hai dato intanto un occhiata minuziosa al mio

Sì, e il log non presenta anomalie. (ma dopo quel che ho detto sopra.......Whistle )
Commenta:
Intanto ho il problema che la mia Key Wind reimposta ad ogni avvio dei dns suoi e non vuole mantenere le impostazioni automatiche

Controlla se per caso, non ci siano i DNS di Comodo installati.
Oppure prova a disattivare tutti i software in "tempo reale" che hai installato, (compreso il firewall) e vedi se cambia qualcosa.
devicepenguin
Inviato: Saturday, September 01, 2012 9:47:37 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 421
Grazie di tutto ;

Per i DNS non è cambato niente (l'ho addirittura disinstallato Comodo e reimpostato la scheda Broadband in riferimento alla Key Wind) ma a questo punto sto pensando (visto anche i due Format C) che quelle devono essere le impostazioni di default e io non ci ho mai fatto caso. Anche perchè sulle altre due schede di rete ho ottieni automaticamente un indirizzo IP e ottieni indirizzo server DNS automaticamente.

Ritornando a Sinowal:ma un antivirus aggiornato dovrebbe riconoscere quel rootkit se lancio una scansione?
(perchè l'antivirus cera su quel computer Think )
Ciao

r16
Inviato: Saturday, September 01, 2012 2:40:37 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
devicepenguin ha scritto:


Ritornando a Sinowal:ma un antivirus aggiornato dovrebbe riconoscere quel rootkit se lancio una scansione?
(perchè l'antivirus cera su quel computer Think )
Ciao

A volte sì, altre volte no.
Dipende sempre dalla sua variante. (e dall'antivirus)
Quando si ha il sospetto di tale infezione, è sempre meglio affidarsi a tool specifici: MBRCheck, TDSSKiller, aswMBR.
E per non sbagliare, provarne più di uno.
Ciao.
devicepenguin
Inviato: Saturday, September 01, 2012 5:06:01 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 421
r16 ha scritto:

Quando si ha il sospetto di tale infezione, è sempre meglio affidarsi a tool specifici: MBRCheck, TDSSKiller, aswMBR.
E per non sbagliare, provarne più di uno.
Ciao.
Ritengo il caso risolto dunque. Ho fatto quei controlli + uno con gmer.

Grazie ,sei sempre gentilissimo ;-)



Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.