Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » un'occhiata al log Combofix

un'occhiata al log Combofix Opzioni
Topic Precedente · Topic Sucessivo
casorci
Inviato: Saturday, June 14, 2008 5:32:51 PM

Rank: AiutAmico

Iscritto dal : 7/22/2007
Posts: 472
ComboFix 08-06-05.3 - Augusto 2008-06-14 17.28.20.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.1602 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Utente\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-05-14 al 2008-06-14 )))))))))))))))))))))))))))))))))))
.

2008-06-12 19:37 . 2008-04-14 17:51 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 19:37 . 2008-04-14 17:51 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 16:33 . 2008-06-10 16:33 <DIR> d-------- C:\Programmi\Skype
2008-06-10 16:33 . 2008-06-10 16:33 <DIR> d-------- C:\Programmi\File comuni\Skype
2008-06-07 22:15 . 2008-06-09 22:51 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\avg8
2008-06-05 23:06 . 2008-06-06 23:08 182,304 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-05 23:06 . 2008-06-06 23:08 3,212 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-05 18:44 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-06-03 23:06 . 2008-06-03 23:06 <DIR> d-------- C:\Programmi\Trend Micro
2008-05-15 22:50 . 2008-06-12 20:20 1,374 --a------ C:\WINDOWS\imsins.BAK

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-13 17:19 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\Skype
2008-06-13 16:04 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\skypePM
2008-06-10 16:35 --------- d-----w C:\Programmi\Java
2008-06-06 21:08 --------- d-----w C:\Programmi\Google
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-26 21:40 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\vlc
2008-04-26 21:37 --------- d-----w C:\Programmi\VideoLAN
2008-04-21 07:01 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
2007-11-17 17:39 32 ----a-w C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat
2007-09-02 16:45 47,360 ------w C:\Documents and Settings\Utente\Dati applicazioni\pcouffin.sys
.

------- Sigcheck -------

2004-08-30 22:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\dllcache\ndis.sys
2004-08-30 22:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-30 22:00 13312 0815e8da286775fa432c7c9ee5e10ba1 C:\WINDOWS\system32\lsass.exe
2004-08-30 22:00 13312 0815e8da286775fa432c7c9ee5e10ba1 C:\WINDOWS\system32\dllcache\lsass.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-30 22:00 15360]
"NBJ"="C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 19:25 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 06:17 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 06:13 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 06:17 118784]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 20:42 32768]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []
"OrderReminder"="C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 18:00 98304]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-06-30 16:56 2376928]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-30 22:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IETI"="C:\Programmi\Skype\Phone\IEPlugin\unins000.exe" [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23100:TCP"= 23100:TCP:BitComet 23100 TCP
"23100:UDP"= 23100:UDP:BitComet 23100 UDP

R3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 12:29]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-14 17:29:04
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


C:\WINDOWS\$

Scansione completata con successo
Files nascosti: 1

**************************************************************************
.
Ora fine scansione: 2008-06-14 17.29.38
ComboFix-quarantined-files.txt 2008-06-14 15:29:34

7 Directory 69,807,226,880 byte disponibili
10 Directory 69,794,062,336 byte disponibili

96 --- E O F --- 2008-06-12 20:27:29
Torna in alto
 
Sponsor
Inviato: Saturday, June 14, 2008 5:32:51 PM

 
Torna in alto
 
r16
Inviato: Sunday, June 15, 2008 12:17:05 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao casorci .
Non ci sono "altre eliminazioni".
C'è un: Files nascosti: 1
Se vuoi,prova a fare una scansione con Gmer.
http://www.gmer.net/gmer.zip

● devi creare una apposta cartella sul desktop e, al suo interno, scompatta il file
● avvia Gmer
● a destra, nella maschera iniziale, accertati che siano spuntate le voci elencate (se non lo fossero, spuntale, tutte)
● metti il segno di spunta sull’unità Disco da analizzare
● metti il segno di spunta alla voce ADS
● clicca su Scan, per avviare la scansione
● dopo averlo avviato, Gmer si fermerà per qualche secondo poi eseguirà una scansione preliminare di ricerca di eventuali Rootkit, per poi continuare ed eseguire una scansione completa

Se ti rileva voci in ROSSO hai Rootkit.
Fammi una cortesia,controlla sul log (volendo lo puoi postare) se Gmer ha rilevato queste voci:
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1316700 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR sector
Torna in alto
 
casorci
Inviato: Sunday, June 15, 2008 4:39:57 PM

Rank: AiutAmico

Iscritto dal : 7/22/2007
Posts: 472
ciao per ora ho fatto una scansione con Avira 8 e mi ha trovato, almeno cosi dice 2 troian horse, uno era una voce di un backup di hijackthis e l'ho eliminato dalla quarantena perche' ero sicuro, l'altro pero' mi sa tanto di falso positivo ed e' una voce che si trova in C:\ system volume information_restore poi una serie di lettere e cifre finendo con RP16\A0006952.exe. Non so sembra un file gia' recuperato credo con uno scandisk che ho fatto qualche giorno fa non mi fido ad eliminarlo
Torna in alto
 
r16
Inviato: Sunday, June 15, 2008 5:37:32 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao casorci .
Tranquillo,fai cosi:
Disattiva il ripristino configurazione di sistema.
Spegni il pc.
Avvia il pc.
Fai una scansione con Avira 8, e vedrai che il problema sarà risolto.
Poi ricrea un nuovo punto di ripristino.
Ciao.
Torna in alto
 
casorci
Inviato: Sunday, June 15, 2008 8:39:58 PM

Rank: AiutAmico

Iscritto dal : 7/22/2007
Posts: 472
ok erre ora provo. Grazie
Torna in alto
 
enigmista63
Inviato: Monday, June 16, 2008 3:38:31 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Whistle Ciao anche io a volte uso gmer,ma volevo chiedere come si aggiorna il programma,io l'ho scaricato parecchi mesi fa ,ma credo non si aggiorni da solo.Grazie
Torna in alto
 
r16
Inviato: Monday, June 16, 2008 8:14:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao enigmista63.
No, Gmer non si aggiorna da solo.
Ogni tanto esce una versione nuova,(per farti un esempio, è come Java,installi la nuova e elimini la vecchia).
La versione che ho consigliato all'amico casorci,è l'ultima.
A mio avviso Gmer dovrebbe essere installato in tutti i pc.
In questo ultimo periodo,circola un Rootkit,che infetta MBR (MASTER BOOT RECORD), pochissimi antivirus riescono a individuarlo.L’infezione si diffonde attraverso alcuni siti web (E Mule-Italia per esempio) che ospitano exploit studiati per infettare pc, con software e/o sistema operativo non aggiornati. Non occorre scaricare file,basta aprire la pagina,e sei infettato.
Tra l'altro,uno dei paesi più esposti all’attacco è l’Italia.
Fai bene a fare delle scansioni ogni tanto.
Per dovere,se nella malaugurata ipotesi che dovessi trovare questi file,dopo una scansione con Gmer,sei infettato.
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1316700 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR sector
Però si può rimediare.
Ciao.
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » un'occhiata al log Combofix


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.