Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Malware vario, che fare ora Opzioni
emmezeta
Inviato: Monday, July 04, 2011 10:51:20 AM
Rank: Member

Iscritto dal : 7/4/2011
Posts: 12
Salve a tutti, mi presento qui (non so se sia necessario presentarsi in apposita sezione, in tal caso mi scuso anticipatamente) e vi pongo il problema.

In pratica è da un anno e mezzo (forse anche oltre) che i miei due computer sono tenuti "sotto osservazione" (ora non so, boh?) probabilmente a causa di un litigio con gli admin di un forum (avevo scoperto alcune cose poco piacevoli). Sia come sia, sono state violate due email, letta tutta la corrispondenza privata, ogni volta che pubblicavo, che so, un annuncio su Internet, subito ricevevo (e ricevo, su un vecchio indirizzo) e-mail "esca", ora sto raccogliendo altri dati.
Di volta in volta ho trovato (in modo del tutto casuale, visto che gli antivirus spesso e volentieri non servono a nulla) keylogger e backdoor, un virus si chiamava Trojan32keypack, keygen o qualcosa del genere, l'ultimo me l'ha scoperto Combofix (solo quando lo avviavo mentre c'era ancora Avira in esecuzione) ed era Virut, il peggiore, trovato sia sul mio fisso che sul mio netbook.

Ho chiesto aiuto su un altro forum informatico, ho ripristinato ma non formattato il netbook (purtroppo con questi sistemi non permettono più la formattazione classica), mi hanno detto però che i log sono puliti e quindi hanno chiouso il thread.

Solo che c'e ancora una chiave di registro bloccata, provando a sbloccarla (so che sarebbe meglio di no) con RegAssassin, Combofix mi ha trovato "siti infetti" di Windows.

Vi allego:

-log Combofix1 (dopo che ho provato a sbloccare la chiave bloccata)
-log Combofix2 (dopo che ho riavviato, chiave ancora bloccata, scomparsi gli avvisi sui "siti infetti")
-e un log HJT fatto stamattina.


Grazie mille.

Log Combofix1
(dove ci sono gli asterischi c'è il mio username)



Commenta:

ComboFix 11-07-01.02 - **** 03/07/2011 11:25:22.3.4 - x86
Microsoft Windows 7 Starter 6.1.7600.0.1252.39.1040.18.1013.376 [GMT 2:00]
Eseguito da: c:\users\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
.
----- BITS: Possibili siti infetti -----
.
hxxp://download.windowsupdate.com
.
((((((((((((((((((((((((( Files Creati Da 2011-06-03 al 2011-07-03 )))))))))))))))))))))))))))))))))))
.
.
2011-07-03 09:35 . 2011-07-03 09:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-02 16:02 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-02 16:02 . 2011-07-02 16:02 -------- d-----w- c:\programdata\Malwarebytes
2011-07-02 16:02 . 2011-07-02 16:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-07-02 16:02 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-02 08:57 . 2011-07-02 08:57 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-02 08:56 . 2010-06-29 05:02 1413632 ----a-w- c:\windows\system32\ole32.dll
2011-07-02 08:56 . 2010-06-29 04:57 4247040 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe
2011-07-02 08:52 . 2011-02-23 05:05 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-07-02 08:52 . 2011-02-23 05:05 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-07-02 08:52 . 2011-02-23 05:05 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-02 08:52 . 2011-02-23 05:05 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-07-02 08:35 . 2011-04-01 15:09 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-02 08:35 . 2011-04-01 15:09 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-02 08:35 . 2011-07-02 08:35 -------- d-----w- c:\programdata\Avira
2011-07-02 08:35 . 2011-07-02 08:35 -------- d-----w- c:\program files\Avira
2011-07-02 08:33 . 2011-06-20 06:57 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E14FBE1B-C32E-4C84-83DC-629875ADF96A}\mpengine.dll
2011-07-02 08:33 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-07-02 08:26 . 2011-07-02 08:27 -------- d-----w- c:\program files\CyberLink
2011-07-02 08:24 . 2011-07-02 08:24 -------- d-----w- c:\programdata\OberonGameConsole
2011-07-02 08:20 . 2011-07-02 08:20 -------- d-----w- c:\program files\Common Files\Oberon Media
2011-07-02 08:20 . 2011-07-02 08:24 -------- d-----w- c:\program files\Game Pack
2011-07-02 08:20 . 2011-07-02 08:20 -------- d-----w- c:\program files\Common Files\Skype
2011-07-02 08:19 . 2011-07-02 08:20 -------- d-----r- c:\program files\Skype
2011-07-02 08:19 . 2011-07-02 08:19 -------- d-----w- c:\programdata\Skype
2011-07-02 08:19 . 2011-07-02 08:19 -------- d-----w- c:\program files\Common Files\Adobe
2011-07-02 08:17 . 2010-07-20 06:26 88616 ----a-w- c:\windows\system32\drivers\btwaudio.sys
2011-07-02 08:17 . 2010-07-20 06:26 111656 ----a-w- c:\windows\system32\drivers\btwavdt.sys
2011-07-02 08:17 . 2010-07-20 06:26 18728 ----a-w- c:\windows\system32\drivers\btwrchid.sys
2011-07-02 08:17 . 2010-07-13 23:25 297000 ----a-w- c:\windows\system32\drivers\btwampfl.sys
2011-07-02 08:17 . 2010-03-02 07:37 33320 ----a-w- c:\windows\system32\drivers\btwl2cap.sys
2011-07-02 08:14 . 2011-07-02 08:14 -------- d-----w- c:\program files\WIDCOMM
2011-07-02 08:14 . 2011-07-02 08:28 -------- d-----w- c:\users\****
2011-07-02 08:12 . 2011-07-02 08:12 -------- d-----w- C:\Recovery
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-02 08:14 . 2010-06-24 02:33 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-06-16 04:44 . 2011-07-02 08:31 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-04-07 8555040]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-7-21 836896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-07-13 297000]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2010-03-02 33320]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2010-10-07 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-04-01 109056]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2010-07-08 322336]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://samsung.msn.com
IE: Invia immagine alla periferica &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Invia pagina alla periferica &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\ksnak1my.default\
FF - prefs.js: browser.startup.homepage - www.google.it
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Ora fine scansione: 2011-07-03 11:39:29
ComboFix-quarantined-files.txt 2011-07-03 09:39
ComboFix2.txt 2011-07-03 09:00
ComboFix3.txt 2011-07-02 09:48
.
Pre-Run: 70.688.796.672 byte disponibili
Post-Run: 70.643.240.960 byte disponibili
.
- - End Of File - - 7461F6EA4CD9ED59C83C54B5CDBFA6A4


Sponsor
Inviato: Monday, July 04, 2011 10:51:20 AM

 
emmezeta
Inviato: Monday, July 04, 2011 10:53:48 AM
Rank: Member

Iscritto dal : 7/4/2011
Posts: 12
Log Combofix2:

Commenta:
ComboFix 11-07-01.02 - **** 03/07/2011 11:48:29.4.4 - x86
Microsoft Windows 7 Starter 6.1.7600.0.1252.39.1040.18.1013.500 [GMT 2:00]
Eseguito da: c:\users\****\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Files Creati Da 2011-06-03 al 2011-07-03 )))))))))))))))))))))))))))))))))))
.
.
2011-07-03 09:58 . 2011-07-03 09:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-02 16:02 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-02 16:02 . 2011-07-02 16:02 -------- d-----w- c:\programdata\Malwarebytes
2011-07-02 16:02 . 2011-07-02 16:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-07-02 16:02 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-02 08:57 . 2011-07-02 08:57 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-02 08:56 . 2010-06-29 05:02 1413632 ----a-w- c:\windows\system32\ole32.dll
2011-07-02 08:56 . 2010-06-29 04:57 4247040 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe
2011-07-02 08:52 . 2011-02-23 05:05 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-07-02 08:52 . 2011-02-23 05:05 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-07-02 08:52 . 2011-02-23 05:05 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-02 08:52 . 2011-02-23 05:05 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-07-02 08:35 . 2011-04-01 15:09 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-02 08:35 . 2011-04-01 15:09 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-02 08:35 . 2011-07-02 08:35 -------- d-----w- c:\programdata\Avira
2011-07-02 08:35 . 2011-07-02 08:35 -------- d-----w- c:\program files\Avira
2011-07-02 08:33 . 2011-06-20 06:57 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E14FBE1B-C32E-4C84-83DC-629875ADF96A}\mpengine.dll
2011-07-02 08:33 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-07-02 08:26 . 2011-07-02 08:27 -------- d-----w- c:\program files\CyberLink
2011-07-02 08:24 . 2011-07-02 08:24 -------- d-----w- c:\programdata\OberonGameConsole
2011-07-02 08:20 . 2011-07-02 08:20 -------- d-----w- c:\program files\Common Files\Oberon Media
2011-07-02 08:20 . 2011-07-02 08:24 -------- d-----w- c:\program files\Game Pack
2011-07-02 08:20 . 2011-07-02 08:20 -------- d-----w- c:\program files\Common Files\Skype
2011-07-02 08:19 . 2011-07-02 08:20 -------- d-----r- c:\program files\Skype
2011-07-02 08:19 . 2011-07-02 08:19 -------- d-----w- c:\programdata\Skype
2011-07-02 08:19 . 2011-07-02 08:19 -------- d-----w- c:\program files\Common Files\Adobe
2011-07-02 08:17 . 2010-07-20 06:26 88616 ----a-w- c:\windows\system32\drivers\btwaudio.sys
2011-07-02 08:17 . 2010-07-20 06:26 111656 ----a-w- c:\windows\system32\drivers\btwavdt.sys
2011-07-02 08:17 . 2010-07-20 06:26 18728 ----a-w- c:\windows\system32\drivers\btwrchid.sys
2011-07-02 08:17 . 2010-07-13 23:25 297000 ----a-w- c:\windows\system32\drivers\btwampfl.sys
2011-07-02 08:17 . 2010-03-02 07:37 33320 ----a-w- c:\windows\system32\drivers\btwl2cap.sys
2011-07-02 08:14 . 2011-07-02 08:14 -------- d-----w- c:\program files\WIDCOMM
2011-07-02 08:14 . 2011-07-02 08:28 -------- d-----w- c:\users\*****
2011-07-02 08:12 . 2011-07-02 08:12 -------- d-----w- C:\Recovery
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-02 08:14 . 2010-06-24 02:33 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-06-16 04:44 . 2011-07-02 08:31 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-04-07 8555040]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-7-21 836896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-07-13 297000]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2010-03-02 33320]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2010-10-07 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-04-01 109056]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2010-07-08 322336]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://samsung.msn.com
IE: Invia immagine alla periferica &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Invia pagina alla periferica &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\ksnak1my.default\
FF - prefs.js: browser.startup.homepage - www.google.it
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'Explorer.exe'(3844)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
.
Ora fine scansione: 2011-07-03 12:02:28
ComboFix-quarantined-files.txt 2011-07-03 10:02
ComboFix2.txt 2011-07-03 09:39
ComboFix3.txt 2011-07-03 09:00
ComboFix4.txt 2011-07-02 09:48
.
Pre-Run: 70.733.983.744 byte disponibili
Post-Run: 70.692.864.000 byte disponibili
.
- - End Of File - - 19DE1D2326496C8FE88E0DAD5C4FD140
emmezeta
Inviato: Monday, July 04, 2011 10:55:27 AM
Rank: Member

Iscritto dal : 7/4/2011
Posts: 12
e, infine, log HiJackThis. Grazie :-)

Commenta:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:44:27, on 04/07/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\windows\system32\hkcmd.exe
C:\windows\system32\igfxsrvc.exe
C:\windows\system32\igfxtray.exe
C:\windows\system32\igfxpers.exe
C:\Program Files\Elantech\ETDCtrlHelper.exe
C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
C:\windows\system32\igfxext.exe
C:\Program Files\Samsung\SFB\SmartRestarter.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\windows\system32\wuauclt.exe
C:\PROGRA~1\samsung\SAMSUN~3\SUPNOT~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\windows\system32\taskhost.exe
C:\Users\****\Desktop\HijackThis.exe
C:\windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://samsung.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll
O3 - Toolbar: @C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe

--
End of file - 5139 bytes
bigelow
Inviato: Monday, July 04, 2011 11:21:01 AM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
Il primo Combofix ha eliminato i due file .dat. Nel secondo non ho notato niente di particolare. Nel log di Hijackthis non si rileva niente di sospetto tranne qualche toolbar.
Puoi fare un pò di pulizia con Malwarebytes e con Ccleaner.

Malwarebytes lo aggiorni prima della scansioen completa. Se rileva qualcosa eliminala senza indugio.

http://www.filehippo.com/download_malwarebytes_anti_malware/download/faf2260570a753040d06fba3b4ddae95/
http://www.piriform.com/ccleaner/download/standard

Al termine delle scansioni fai sapere l'esito oppure se noti qualcosa che nonn ti convince.
davix
Inviato: Monday, July 04, 2011 12:41:02 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
Nel Forum Aiutamici solitamente si indica di "scaricare" i SW da Aiutamici

CCleaner

Malwarebytes Anti-Malware

... se non altro l'utente è agevolato dalle guide di Alfonso.Applause
bigelow
Inviato: Monday, July 04, 2011 1:29:17 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
davix ha scritto:
Nel Forum Aiutamici solitamente si indica di "scaricare" i SW da Aiutamici

CCleaner

Malwarebytes Anti-Malware

... se non altro l'utente è agevolato dalle guide di Alfonso.Applause


Di norma preferisco sempre i siti originali inoltre, se ci fosse bisogno di altro aiuto, sono in grado anch'io di spiegare correttamente.
davix
Inviato: Monday, July 04, 2011 2:43:38 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
bigelow ha scritto:



Di norma preferisco sempre i siti originali inoltre, se ci fosse bisogno di altro aiuto, sono in grado anch'io di spiegare correttamente.



Eh? Eh? Eh?

old_bilodiego
Inviato: Monday, July 04, 2011 3:16:07 PM

Rank: AiutAmico

Iscritto dal : 3/2/2010
Posts: 2,994
Visto che ci siamo iscritti su aiutamici di norma ci fidiamo di gran lunga più delle recensioni e indicazioni di Alfonso che delle presunte indicazioni di un qualsiasi con qualche decina di post.
Bilodiego
bigelow
Inviato: Monday, July 04, 2011 3:27:36 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
Si da il caso che l'utente con pochi post puo dare lezioni di informatica sia HW che SW a te e ad altri cento come te. Ti insegna, inoltre, anche un po di cultura generale visto che pecchi di brutto in questa "disciplina."
Ciapa e porta a casa
thepiratebay
Inviato: Monday, July 04, 2011 3:31:38 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
Commenta:
..presunte indicazioni di un qualsiasi utente con qualche decina di post...


1) non sono decine di post .. ma centinaia di un singolo "utente" ma questo poco importa.

2) il singolo utente si ... ma quanti nik .....Anxious

3) un link esterno ci può stare forse perché il programma non risulti aggiornato: (vs webmaster)


Commenta:
sono in grado anch'io di spiegare correttamente.


benissimo in questo caso non serviranno link esterni ne guide del forum (aiutamici) per la serie .. Silenced .. vostri Not talking
old_bilodiego
Inviato: Monday, July 04, 2011 3:46:48 PM

Rank: AiutAmico

Iscritto dal : 3/2/2010
Posts: 2,994
bigelow ha scritto:
Si da il caso che l'utente con pochi post puo dare lezioni di informatica sia HW che SW a te e ad altri cento come te. Ti insegna, inoltre, anche un po di cultura generale visto che pecchi di brutto in questa "disciplina."
Ciapa e porta a casa


chi si loda si imbroda

Bilodiego
emmezeta
Inviato: Monday, July 04, 2011 3:53:50 PM
Rank: Member

Iscritto dal : 7/4/2011
Posts: 12
ehm...ogni aiuto è ben accetto.

I file DAT e il sito "hxxp" (?) erano apparsi solo dopo che avevo provato a "schiodare" la chiave bloccata, e mi avevano detto invece che era tutto OK.

Poi dopo che ho riavviato, il log di Combofix è tornato come prima, con la chiave sempre bloccata e nessuna indicazione su infezioni trovate o meno (sul pc fisso alla fine del log esce sempre: Virus trovati: 0 etc).

Cioè, come mai questa chiave di registro bloccata? Teoricamente, oltre ai keylogger e ai backdoor, ci sono altri modi che potrebbero essere usati per violare i miei computer?

grazie

P.S. già usato MWB e CCleaner diverse volte, il primo, come Avira, non trovava nulla nemmeno quando avevo il virus (tantomeno ora), il secondo l'ho usato ma rimane la chiave bloccata.
bigelow
Inviato: Monday, July 04, 2011 4:20:48 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
emmezeta ha scritto:
ehm...ogni aiuto è ben accetto.

I file DAT e il sito "hxxp" (?) erano apparsi solo dopo che avevo provato a "schiodare" la chiave bloccata, e mi avevano detto invece che era tutto OK.

Poi dopo che ho riavviato, il log di Combofix è tornato come prima, con la chiave sempre bloccata e nessuna indicazione su infezioni trovate o meno (sul pc fisso alla fine esce sempre Virus trovati: 0 etc).

Cioè, come mai questa chiave di registro bloccata? Teoricamente, oltre ai keylogger e ai backdoor, ci sono altri modi che potrebbero essere usati per violare i miei computer?

grazie

P.S. già usato MWB e CCleaner diverse volte, il primo, come Avira, non trovava nulla nemmeno quando avevo il virus (tantomeno ora), il secondo l'ho usato ma rimane la chiave bloccata.


Commenta:
Combofix è tornato come prima, con la chiave sempre bloccata e nessuna indicazione su infezioni trovate

La chiave bloccata non è indice di infezione. E' una info che da Combofix.
Commenta:
alla fine esce sempre Virus trovati: 0

Il dato che interessa è questo.
Commenta:
Cioè, come mai questa chiave di registro bloccata?

Posso solo ipotizzare che sia un' opzione di protezione di Combofix per quella chiave mentre scansiona il Sistema.
Commenta:
già usato MWB e CCleaner diverse volte, il primo, come Avira, non trovava nulla nemmeno quando avevo il virus

Giustamente Malwarebytes, al contrario di Avira, non trova virus ma solo eventuali malware (malwarebytes).
Se il PC lo vedi bene senza rallentamenti o altro saltuariamente ripassa Malwarebytes e Ccleaner a vai tranquillo.
davix
Inviato: Monday, July 04, 2011 4:29:43 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
bigelow ha scritto:


Giustamente Malwarebytes, al contrario di Avira, non trova virus ma solo eventuali malware (malwarebytes).Se il PC lo vedi bene senza rallentamenti o altro saltuariamente ripassa Malwarebytes e Ccleaner a vai tranquillo.


Ammazzate oh! Che competenzaBrick wall

Ma leggiti le scheda di Alfonso Drool
emmezeta
Inviato: Monday, July 04, 2011 5:47:12 PM
Rank: Member

Iscritto dal : 7/4/2011
Posts: 12
Commenta:
alla fine esce sempre Virus trovati: 0

Il dato che interessa è questo.


Forse non sono stato molto chiaro: non esce proprio il report finale nel log (Virus 0, rootkit 0, ecc). Avendo Combofix anche sul fisso e non solo sul netbook, sul fisso mi dà tali informazioni.


Commenta:
Cioè, come mai questa chiave di registro bloccata?
Posso solo ipotizzare che sia un' opzione di protezione di Combofix per quella chiave mentre scansiona il Sistema.



Il netbook parte con quella chiave già bloccata all'avvio, senza azionare Combofix. Non vi si può nemmeno accedere tramite regedit. Come ho già detto ho provato anche a sbloccarla con RegAssassin, per un attimo è sembrato che avesse ceduto e sono usciti quei file DAT. AL riavvio è tornato tutto come prima, inclusa l'impossibilità di aprire gli EXE dopo aver usato Combofix (sul fisso non succede).

Commenta:

Giustamente Malwarebytes, al contrario di Avira, non trova virus ma solo eventuali malware (malwarebytes).
Se il PC lo vedi bene senza rallentamenti o altro saltuariamente ripassa Malwarebytes e Ccleaner a vai tranquillo.


Sì, ma mi sono sempre trovato PC e netbook che funzionavano bene...però i virus c'erano...ed era sempre spyware di gravità massima. E per puro caso li ho trovati. E avevo antivirus e firewall aggiornati.
Tranquillo lo sono sempre ormai, ma se c'è qualcuno che si mette d'intento per spiare il tuo pc, non è detto che esca fuori il cassetto del cd o che escano messaggi sullo schermo.

Poi, oh, se mi dite di andare tranquillo, che dire, vado tranquillo! :-)
bigelow
Inviato: Monday, July 04, 2011 6:18:19 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
@@ Poi, oh, se mi dite di andare tranquillo, che dire, vado tranquillo! :-)


... emme alcune chiavi bloccate le ho anch'io, (vedi sotto). Lechiavi bloccate possono averle tutti quando si adopera Combofix.
Te lo dico per farti stare tranquillo. Le chiavi le blocca Combo per proteggere proprio quelle chiavi mentre lui cerca le infezioni.



--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
....omesso........

Controlla bene i computer come gia suggerito e fatti vivo solo se hai problemi.
thepiratebay
Inviato: Monday, July 04, 2011 6:28:37 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
bigelow ha scritto:
@@ Poi, oh, se mi dite di andare tranquillo, che dire, vado tranquillo! :-)


... emme alcune chiavi bloccate le ho anch'io, (vedi sotto). Lechiavi bloccate possono averle tutti quando si adopera Combofix.
Te lo dico per farti stare tranquillo. Le chiavi le blocca Combo per proteggere proprio quelle chiavi mentre lui cerca le infezioni.



Controlla bene i computer come gia suggerito e fatti vivo solo se hai problemi.




ps:--------------------------->barbone

1) :-) quetsta è la sez giusta non "discussioni varie"

2) non male le tue disamine credimi perfino "fadccc" sa fare meglio. Not talking

3) desidera insulti ?
bigelow
Inviato: Monday, July 04, 2011 6:33:15 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
Perchè continui a rompere i coglioni, barbone.

r16
Inviato: Monday, July 04, 2011 6:36:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@emmezeta
Commenta:
'ultimo me l'ha scoperto Combofix (solo quando lo avviavo mentre c'era ancora Avira in esecuzione) ed era Virut

Premessa:
Se hai preso il Virut, ti dico subito, che la migliore soluzione è il format.
E la formattazione, deve essere eseguita a "basso livello".
Per eseguire una formattazione a basso livello, la migliore cosa è rivolgersi alla casa madre del HD (disco rigido) .
Questa ti rilascia un tool apposito (in base al tuo HD) che ti formatterà a fondo il disco rigido.
Esistono anche altre soluzioni, ma questa è la migliore.

Alcune info del Virut:
Questo virus, non elimina nessun file,e non aggiunge nessun file.
Si "limita" a iniettare codici malevoli negli eseguibili (.exe) di sistema, in modo che i software di difesa non riescono a rilevarli.
Apre un canale IRC che si collega a un server, che ti inonda di malware di ogni genere.
Infetta l'MBR in modo tale, che risulta impossibile ripararlo. (da qui, il consiglio di formattare a basso livello)
Naturalmente, tutte le periferiche che vengono a contatto con il pc infetto, saranno a loro volta infettate.
Anche l'eventuale bonifica, risulta vana, perchè il virus continua a rigenerarsi , tramite gli eseguibili di sistema infetti.
Inoltre, anche se la bonifica riesce, (ci vuole un sacco di tempo) non avrai mai la certezza che il pc sia veramente pulito.
Calcola che il Virut, è in grado di infettare anche 50.000 (cinquantamila) file, e chiavi di sistema, in pochissimo tempo

Dimmi cosa vuoi fare.

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.