|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Wikisend non carica,quindi allego qui Code:ComboFix 14-08-02.02 - Adriana 02/08/2014 22:30:21.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.39.1040.18.1791.907 [GMT 2:00]
Eseguito da: c:\users\Adriana\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Creato nuovo punto di ripristino
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
La copia infetta di c:\windows\system32\userinit.exe è stata trovata e disinfettata
ipristinata copia da - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2014-07-02 al 2014-08-02 )))))))))))))))))))))))))))))))))))
.
.
2014-08-02 20:35 . 2014-08-02 20:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-07-23 14:29 . 2014-07-23 14:29 1024 ---ha-w- C:\SYSTAG.BIN
2014-07-23 14:21 . 2014-07-23 14:21 -------- d-----w- c:\program files\MSXML 4.0
2014-07-23 14:21 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2014-07-23 14:21 . 2014-01-09 02:22 5694464 ----a-w- c:\windows\system32\mstscax.dll
2014-07-23 14:21 . 2011-02-25 05:30 2616320 ----a-w- c:\windows\explorer.exe
2014-07-23 14:17 . 2014-07-23 14:17 -------- d-----w- c:\programdata\AomeiBR
2014-07-23 14:15 . 2013-05-07 12:27 26424 ----a-w- c:\windows\system32\ambakdrv.sys
2014-07-23 14:15 . 2013-05-07 12:27 129720 ----a-w- c:\windows\system32\ammntdrv.sys
2014-07-23 14:15 . 2013-02-06 13:52 14392 ----a-w- c:\windows\system32\amwrtdrv.sys
2014-07-23 14:15 . 2014-07-23 14:15 -------- d-----w- c:\program files\AOMEI Backupper Standard Edition 2.0
2014-07-23 14:10 . 2014-07-23 14:10 -------- d-----w- c:\program files\Tracker Software
2014-07-23 13:56 . 2014-07-23 13:56 -------- d-----w- c:\program files\Common Files\Ahead
2014-07-23 13:56 . 2014-07-23 13:56 -------- d-----w- c:\programdata\Nero
2014-07-23 13:56 . 2014-07-23 13:56 -------- d-----w- c:\program files\Nero
2014-07-23 13:49 . 2014-07-23 13:49 -------- d-----w- c:\program files\FreeTime
2014-07-23 13:40 . 2014-07-23 14:03 97648 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2014-07-23 13:40 . 2014-07-23 14:03 35848 ----a-w- c:\windows\system32\drivers\avnetflt.sys
2014-07-23 13:40 . 2014-05-27 17:59 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2014-07-23 13:40 . 2014-05-27 17:59 136216 ----a-w- c:\windows\system32\drivers\avipbb.sys
2014-07-23 13:40 . 2014-07-23 13:40 -------- d-----w- c:\programdata\Avira
2014-07-23 13:40 . 2014-07-23 13:40 -------- d-----w- c:\program files\Avira
2014-07-23 13:38 . 2014-07-23 13:38 -------- d-----w- c:\program files\Hardwipe
2014-07-23 13:37 . 2014-07-23 13:37 -------- d-----w- c:\program files\CCleaner
2014-07-23 13:36 . 2014-07-23 13:36 -------- d-----w- c:\program files\VideoLAN
2014-07-23 13:35 . 2014-07-23 13:35 -------- d-----w- c:\program files\IZArc
2014-07-23 13:32 . 2010-05-26 09:41 470880 ----a-w- c:\windows\system32\d3dx10_43.dll
2014-07-23 13:32 . 2010-05-26 09:41 248672 ----a-w- c:\windows\system32\d3dx11_43.dll
2014-07-23 13:32 . 2010-05-26 09:41 1998168 ----a-w- c:\windows\system32\D3DX9_43.dll
2014-07-23 13:32 . 2014-04-30 18:27 1081112 ----a-w- c:\windows\system32\nvspcap.dll
2014-07-23 13:31 . 2014-07-23 13:31 -------- d-----w- c:\program files\AGEIA Technologies
2014-07-23 13:31 . 2014-05-14 02:20 3774821 ----a-w- c:\windows\system32\nvcoproc.bin
2014-07-23 13:27 . 2014-03-31 16:42 34080 ----a-w- c:\windows\system32\drivers\nvvad32v.sys
2014-07-23 13:27 . 2014-03-31 16:42 34760 ----a-w- c:\windows\system32\nvaudcap32v.dll
2014-07-23 13:18 . 2014-05-08 09:06 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
2014-07-23 13:18 . 2014-05-08 09:06 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
2014-07-23 13:03 . 2010-08-12 09:46 758784 ----a-w- c:\windows\system32\cohelper.dll
2014-07-23 13:03 . 2010-08-09 20:33 11164 ----a-w- c:\windows\system32\drivers\nvphy.bin
2014-07-23 13:02 . 2012-08-23 14:44 14848 ----a-w- c:\windows\system32\drivers\rdpvideominiport.sys
2014-07-23 13:02 . 2012-08-23 14:48 221184 ----a-w- c:\windows\system32\rdpudd.dll
2014-07-23 13:02 . 2012-08-23 11:12 192000 ----a-w- c:\windows\system32\rdpendp_winip.dll
2014-07-23 13:01 . 2013-10-02 00:32 12800 ----a-w- c:\windows\system32\TsUsbRedirectionGroupPolicyControl.exe
2014-07-23 13:01 . 2013-10-01 23:45 32256 ----a-w- c:\windows\system32\TsUsbGDCoInstaller.dll
2014-07-23 13:00 . 2013-10-02 00:42 49152 ----a-w- c:\windows\system32\drivers\TsUsbFlt.sys
2014-07-23 13:00 . 2013-10-02 00:30 14336 ----a-w- c:\windows\system32\TsUsbRedirectionGroupPolicyExtension.dll
2014-07-23 13:00 . 2013-10-02 00:14 50176 ----a-w- c:\windows\system32\MsRdpWebAccess.dll
2014-07-23 13:00 . 2013-10-02 00:14 17920 ----a-w- c:\windows\system32\wksprtPS.dll
2014-07-23 13:00 . 2013-10-01 23:58 53248 ----a-w- c:\windows\system32\tsgqec.dll
2014-07-23 13:00 . 2013-10-01 23:08 855552 ----a-w- c:\windows\system32\rdvidcrl.dll
2014-07-23 13:00 . 2013-10-01 23:00 76288 ----a-w- c:\windows\system32\TSWbPrxy.exe
2014-07-23 13:00 . 2013-10-01 22:53 350208 ----a-w- c:\windows\system32\wksprt.exe
2014-07-23 13:00 . 2013-10-01 22:34 1068544 ----a-w- c:\windows\system32\mstsc.exe
2014-07-23 12:58 . 2014-07-23 12:58 -------- d-----w- c:\program files\Microsoft.NET
2014-07-23 12:58 . 2014-07-23 12:58 -------- d-----w- c:\windows\Migration
2014-07-23 12:58 . 2014-07-23 14:21 -------- d-sh--w- c:\windows\Installer
2014-07-23 12:55 . 2014-07-23 13:32 -------- d-----w- c:\programdata\NVIDIA
2014-07-23 12:54 . 2014-05-20 00:04 4379592 ----a-w- c:\windows\system32\nvcpl.dll
2014-07-23 12:54 . 2014-05-20 00:04 3055560 ----a-w- c:\windows\system32\nvsvc.dll
2014-07-23 12:54 . 2014-05-20 00:04 668104 ----a-w- c:\windows\system32\nvvsvc.exe
2014-07-23 12:54 . 2014-05-20 00:04 2555168 ----a-w- c:\windows\system32\nvsvcr.dll
2014-07-23 12:54 . 2014-05-20 00:04 61784 ----a-w- c:\windows\system32\nvshext.dll
2014-07-23 12:54 . 2014-05-20 00:04 376096 ----a-w- c:\windows\system32\nvmctray.dll
2014-07-23 12:54 . 2014-05-20 02:39 52056 ----a-w- c:\windows\system32\OpenCL.dll
2014-07-23 12:53 . 2014-07-23 13:33 -------- d-----w- c:\programdata\NVIDIA Corporation
2014-07-23 12:53 . 2014-07-23 13:32 -------- d-----w- c:\program files\NVIDIA Corporation
2014-07-23 12:52 . 2012-07-26 03:20 73216 ----a-w- c:\windows\system32\WUDFSvc.dll
2014-07-23 12:52 . 2012-07-26 03:20 172032 ----a-w- c:\windows\system32\WUDFPlatform.dll
2014-07-23 12:52 . 2012-07-26 02:33 66560 ----a-w- c:\windows\system32\drivers\WUDFPf.sys
2014-07-23 12:52 . 2012-07-26 02:32 155136 ----a-w- c:\windows\system32\drivers\WUDFRd.sys
2014-07-23 12:52 . 2012-07-26 03:21 196608 ----a-w- c:\windows\system32\WUDFHost.exe
2014-07-23 12:52 . 2012-07-26 03:20 613888 ----a-w- c:\windows\system32\WUDFx.dll
2014-07-23 12:52 . 2012-07-26 03:20 38912 ----a-w- c:\windows\system32\WUDFCoinstaller.dll
2014-07-23 12:50 . 2013-05-10 04:56 12625408 ----a-w- c:\windows\system32\wmploc.DLL
2014-07-23 12:50 . 2013-05-10 03:48 164864 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
2014-07-23 12:48 . 2012-01-04 08:58 442880 ----a-w- c:\windows\system32\ntshrui.dll
2014-07-23 12:46 . 2014-01-24 02:18 1212352 ----a-w- c:\windows\system32\drivers\ntfs.sys
2014-07-23 12:46 . 2013-12-04 01:54 594944 ----a-w- c:\windows\system32\RMActivate_isv.exe
2014-07-23 12:46 . 2013-12-04 01:54 572416 ----a-w- c:\windows\system32\RMActivate.exe
2014-07-23 12:46 . 2013-12-04 01:54 508928 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2014-07-23 12:46 . 2013-12-04 02:03 87040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2014-07-23 12:46 . 2013-12-04 02:03 87040 ----a-w- c:\windows\system32\secproc_ssp.dll
2014-07-23 12:46 . 2013-12-04 02:03 423936 ----a-w- c:\windows\system32\secproc_isv.dll
2014-07-23 12:46 . 2013-12-04 02:03 428032 ----a-w- c:\windows\system32\secproc.dll
2014-07-23 12:46 . 2013-12-04 02:02 390144 ----a-w- c:\windows\system32\msdrm.dll
2014-07-23 12:46 . 2013-12-04 01:54 510976 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2014-07-23 12:45 . 2014-02-04 02:04 1230336 ----a-w- c:\windows\system32\WindowsCodecs.dll
2014-07-23 12:45 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2014-07-23 12:45 . 2013-12-24 23:09 1987584 ----a-w- c:\windows\system32\d3d10warp.dll
2014-07-23 12:45 . 2013-11-26 08:16 3419136 ----a-w- c:\windows\system32\d2d1.dll
2014-07-23 12:45 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
2014-07-23 12:45 . 2013-08-05 01:56 133056 ----a-w- c:\windows\system32\drivers\ataport.sys
2014-07-23 12:45 . 2013-07-04 11:57 205824 ----a-w- c:\windows\system32\WebClnt.dll
2014-07-23 12:45 . 2013-07-04 11:51 81920 ----a-w- c:\windows\system32\davclnt.dll
2014-07-23 12:45 . 2013-07-04 09:48 115712 ----a-w- c:\windows\system32\drivers\mrxdav.sys
2014-07-23 12:36 . 2014-07-23 12:36 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-07-23 12:36 . 2014-07-23 12:36 699056 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-07-23 12:36 . 2014-07-23 12:36 -------- d-----w- c:\windows\system32\Macromed
2014-07-23 12:30 . 2014-07-23 12:30 -------- d-----w- c:\windows\system32\wbem\en-US
2014-07-23 11:53 . 2012-03-01 05:46 19824 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2014-07-23 11:53 . 2012-03-01 05:29 5120 ----a-w- c:\windows\system32\wmi.dll
2014-07-23 11:51 . 2014-07-23 11:52 -------- d-----w- c:\windows\system32\MRT
2014-07-23 11:50 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2014-07-23 11:43 . 2014-07-23 14:02 -------- d-----w- c:\windows\Panther
2014-07-23 11:35 . 2014-07-23 11:35 231424 ----a-w- c:\windows\system32\mswsock.dll
2014-07-23 11:35 . 2014-07-23 11:35 49152 ----a-w- c:\windows\system32\taskhost.exe
2014-07-23 11:33 . 2014-07-23 11:33 1505280 ----a-w- c:\windows\system32\d3d11.dll
2014-07-23 11:30 . 2013-05-13 03:08 903168 ----a-w- c:\windows\system32\certutil.exe
2014-07-23 11:30 . 2013-05-13 03:08 43008 ----a-w- c:\windows\system32\certenc.dll
2014-07-23 11:30 . 2013-07-12 10:07 86016 ----a-w- c:\windows\system32\drivers\usbcir.sys
2014-07-23 11:30 . 2012-09-25 22:47 78336 ----a-w- c:\windows\system32\synceng.dll
2014-07-23 11:30 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
2014-07-23 11:28 . 2013-10-05 19:57 1168384 ----a-w- c:\windows\system32\crypt32.dll
2014-07-23 11:27 . 2013-10-12 02:03 656896 ----a-w- c:\windows\system32\nshwfp.dll
2014-07-23 11:17 . 2014-07-23 12:32 -------- d-----w- c:\program files\Mozilla Maintenance Service
2014-07-23 11:16 . 2013-06-15 03:38 31232 ----a-w- c:\windows\system32\drivers\tssecsrv.sys
2014-07-23 11:09 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2014-07-23 11:09 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2014-07-23 11:09 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2014-07-23 11:09 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2014-07-23 11:09 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
2014-07-23 11:09 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
2014-07-23 11:09 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
2014-07-23 11:09 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2014-07-23 11:09 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2014-07-23 10:52 . 2014-07-23 10:52 -------- d-----w- c:\users\Adriana
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-05-20 02:39 . 2013-09-05 00:38 895264 ----a-w- c:\windows\system32\nvhdagenco3220103.dll
2014-05-20 02:39 . 2013-09-05 00:37 2730208 ----a-w- c:\windows\system32\nvapi.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShadowPlay"="c:\windows\system32\nvspcap.dll" [2014-04-30 1081112]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-07-23 750160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 17:03 152872 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvBackend]
2014-04-30 18:28 2199840 ----a-w- c:\program files\NVIDIA Corporation\Update Core\NvBackend.exe
.
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-07-23 108032]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
R4 AntiVirWebService;Avira Web Protection;c:\program files\Avira\AntiVir Desktop\avwebg7.exe [2014-07-23 1030224]
S0 ambakdrv;ambakdrv;c:\windows\system32\ambakdrv.sys [2013-05-07 26424]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2014-05-27 37352]
S2 ammntdrv;ammntdrv;c:\windows\system32\ammntdrv.sys [2013-05-07 129720]
S2 amwrtdrv;amwrtdrv;c:\windows\system32\amwrtdrv.sys [2013-02-06 14392]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-07-23 430160]
S2 avnetflt;avnetflt;c:\windows\system32\DRIVERS\avnetflt.sys [2014-07-23 35848]
S2 Backupper Service;AOMEI Backupper Scheduler Service;c:\program files\AOMEI Backupper Standard Edition 2.0\ABService.exe [2014-04-08 29912]
S2 NvNetworkService;NVIDIA Network Service;c:\program files\NVIDIA Corporation\NetService\NvNetworkService.exe [2014-04-30 1617696]
S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [2014-04-30 19702048]
S3 netr28;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28.sys [2012-12-06 2046560]
S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [2014-04-30 17240]
S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad32v.sys [2014-03-31 34080]
.
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - WS2IFSL
.
Contenuto della cartella 'Scheduled Tasks'
.
2014-08-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2014-07-23 12:36]
.
.
------- Scansione supplementare -------
.
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Adriana\AppData\Roaming\Mozilla\Firefox\Profiles\esy5gsa2.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.google.it/?gws_rd=ssl
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Ora fine scansione: 2014-08-02 22:40:19 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2014-08-02 20:40
.
Pre-Run: 69.032.693.760 byte disponibili
Post-Run: 69.839.147.008 byte disponibili
.
- - End Of File - - 16DB744CD477A07C4B8A65ACEDA231AC
A36C5E4F47E84449FF07ED3517B43A31
Il tutto è iniziato da qui. https://turbolab.it/forum/viewtopic.php?f=9&t=2548&p=26090#p26090 Si accettano suggerimenti . .
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. A grandi linee dovresti seguire i consigli di crazy.cat . Molto lo hai già fatto ripristinando un'immagine pulita. Aggiungo di resettare il router alle impostazioni di fabbrica. Ovviamente, poi lo devi riconfigurare alle impostazioni del provider. Cambia la password, (del router) perchè la password di default, di solito è "standard" quindi molto facile da individuare. Il tizio che era in contatto con tuo nipote, era un hacker. La Backdoor che gli ha fatto scaricare, gli ha modificato l' Userinit, e praticamente aveva il controllo completo del pc di tuo nipote. Tale file di sistema,è fondamentale per il controllo a distanza di un pc. Combofix lo ha sostituito con uno sano, ma con infezioni di questo genere,la via più sicura è la formattazione e reistallazione del S.O. Attenzione: ho scritto FORMATTAZIONE :significa piallare l'intero HD rigido, comprese le varie partizioni.Nel log di Combofix esiste un programma per le partizioni: c:\programdata\ AomeiBRChe sarebbe questo: http://www.ilsoftware.it/querydl.asp?id=1213Se lo ha installato l'hacker, non servirà il ripristino dell'immagine, perchè l'immagine verrà ripristinata in C: ma l'hacker avrà creato una partizione per i comodi suoi, che non verrà eliminata con il semplice ripristino dell'immagine pulita. Se invece detto programma lo conosci, e lo hai installato tu, allora l'hacker non centra niente. Ovviamente, se tuo nipote proseguirà con questo tipo "manovre" le operazioni citate non serviranno a niente. Per limitare le scorrerie del dodicenne,puoi installargli alcuni programmi a tua scelta: http://www.microsoft.com/it-it/security/family-safety/childsafety-steps.aspxhttp://www.programmifree.com/categorie/controllo-genitori.htmhttp://ilmigliorsoftware.blogspot.it/2010/03/il-miglior-software-per-proteggere-i.htmlConsiglio di non "tagliargli le falangi".  ............non sarebbe sufficiente. 
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
r16 ha scritto: Ciao.
A grandi linee dovresti seguire i consigli di crazy.cat .
Molto lo hai già fatto Ciao. Si infatti  Solo che fino a quando non sono sicuro che è tutto ok,non mi do pace. PS. Forse hai letto velocemente il 3D su TLI perchè questo log,il log di Combofix non è il log del PC dove è successo tutto l'ambaradan,è un altro PC collegato alla stessa WiFi ed io per controllo totale (cosa che sto facendo in questo momento anche sul mio Win 8) ho lanciato scansioni incrociate con vari tool (da Tdsskiller a Malwarebytes) [poi ripristino su tutti un immagine dove tutta sta roba 'non c'è mai stata' ] Commenta:
Il tizio che era in contatto con tuo nipote, era un hacker.
Sono arrivato alla conclusione che il PC dell'amico è stato compromesso (forse è diventato parte di una Botnet . Non è da escludere) Quindi in buona fede i ragazzi giocavano ma poi da un PC si è diffusa su quello di mio nipote (da qui il timore che poi è rimbalzato via WiFi su altri PC collegati tutti sul 'mio' Router (sono solo supposizioni ma io devo vederci chiaro ) No,in realtà è un "fratello" ovvero Aomei Backupper che ho installato io per creare le immagini del sistema. Commenta:
Ovviamente, se tuo nipote proseguirà con questo tipo "manovre" le operazioni citate non serviranno a niente.
Lo so e per quanto sono veramente molto intelligenti davanti ai giochi e download di mod ecc non capiscono niente più e la vista si annebbia (trovo sempre qualcosa che hanno scaricato nella cartella download. Poi dopo varie "cazziate" hanno imparato a svuotare tale cartella   ) Questa è una serie di programmi che scaricherò e proverò appena posso. Vale sicuramente la pena di averli nel cassettino attrezzi (!) Che facciamo adesso?  PS. Il Router è in un posto dove divento 'ingombrante' ad operarci (lo devo fare quando sono da solo. Praticamente è vicino alla cassa,e la mia compagna e parenti devono lavorare,non posso mettermi li con un cavo LAN da un metro e 'dare fastidio' . Ho per il momento Cambiato le credenziali di accesso al Router,e la password del WiFi. Gli indirizzi IP come pure i DNS non sono modificabili perchè è un Modem Brandizzato di Telecom.) immagine
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:PS. Forse hai letto velocemente il 3D su TLI perchè questo log,il log di Combofix non è il log del PC dove è successo tutto l'ambaradan Che confusione....... Io mi sono basato sul log di Combofix pensando che fosse del pc di tuo nipote. Comunque era infetto da un'infezione piuttosto importante, e che và formattato, per ragioni di sicurezza. Commenta:Che facciamo adesso? Per vedere lo stato del pc serve una scansione con OTL: Scarica OTL, e salvalo sul desktop: http://oldtimer.geekstogo.com/OTL.exeClicca sull'icona di OTL che trovi sul tuo desktop . Metti la spunta su SCAN ALL USERS. Sotto output, metti la spunta : minimal outputClicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Clicca su RUN SCANLascia fare la scansione senza interferire. Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
No problema ,può capitare ;) Appena posso ti posto i due log del PC dei ragazzi PC da dove è cominciato tutto l'ambaradan. PS. Il secondo PC (Log di Combo su PC Adriana) può essere che ComboFix ha visto userinit.exe come file infetto perchè attivato con metodo Hazar? Lo so che non dovevo scriverlo,ma noi la licenza l'abbiamo pagata (!!) e quindi mi sono sentito con la coscienza a posto nel mandare in esecuzione il Loader in oggetto. https://turbolab.it/forum/viewtopic.php?f=9&t=1320
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Wikisend non carica. Ho allegato i due file in una cartella compressa (Zip) http://ge.tt/7xIfCKq1/v/0Questi sono i log del PC 'primario' (insomma da dove è cominciato il tutto,quello dei ragazzi insomma) Se posso poi ,sto ripristinando un immagine sul secondo PC (quello dove poi ComboFix ha rilevato userinit,exe infetto. Voglio eseguire la stessa scansione a immagine ripristinata ,dove dovremmo avere di nuovo quel file (vitale di Windows) infetto. Per ora controlliamo questo . .
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Vedi per favore prima su,grazie. Questo è del secondo PC (Quello del Log ComboFix) http://www.fileconvoy.com/dfl.php?id=g249f3917cc6a64a3999537537e47109949b9f00b2
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Tutti i log non presentano infezioni attive. (nemmeno "rimasugli" ) Non considero un'infezione una cartella di Avast, che forse è vuota: Commenta:[2014/07/10 09:51:48 | 000,000,000 | ---D | M] -- C:\Users\Adriana\AppData\Roaming\AVAST Software Commenta:Se posso poi ,sto ripristinando un immagine sul secondo PC (quello dove poi ComboFix ha rilevato userinit,exe infetto.
Voglio eseguire la stessa scansione a immagine ripristinata ,dove dovremmo avere di nuovo quel file (vitale di Windows) infetto. Posta pure il log della scansione con Combofix. Così ci si leva il dubbio (o la conferma) che centri il "metodo Hazar ".
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Log del PC "due" (Adriana,sarebbe il PC che ComboFIx ha trovato userinint.exe infetto,ma NON il PC da dove è partito tutto) http://www.fileconvoy.com/dfl.php?id=g249f3917cc6a64a3999537537e47109949b9f00b2Ho lanciato ComboFix anche sul PC dei ragazzi e presenta lo stesso reporter (penso sia dovuto al Loader,ma è solo un ipotesi) https://tu1.s3.amazonaws.com/2608F069016B/Log%20PC%20uno.txt
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Aggiornamento:
I ragazzi hanno scaricato Skype e cliccando sempre su avanti in fase di installazione ,ora 'ovviamente' si avvia assieme al PC (perchè di default è impostato così,come tutti già sappiamo)
Avviando il PC Uno (chiamerò il PC uno il Computer da dove è partito il tutto) mi accorgevo tramite Skype che si è aperto da solo,che questo meraviglioso ragazzo (perchè poi in realtà è un ragazzo ok a tutti gli effetti,tranne che per il click facile sul PC) accetta richieste non solo da amici,ma anche da Mod e amicizie varie,il tutto perchè?
..Perchè Minecraft (un giochino) che si gioca on line non ha una chatt integrata,e si parlano via Skype .
Considerando che con Skype si possono mandare/ricevere file gli ho spiegato di non accettare niente (anzi,se non erro si può fare addirittura assistenza remota tramite skype)
Per farla breve,credo non c'è verso di dire ai ragazzi che con Skype ci si chiama e si condivide solo con contatti fidati (!) ho giò 'sondato' mio nipote si rifiuta di accettare che non bisogna fidarsi degli sconosciuti. (Per lu è importante giocare e bon :/ )
Ora la soluzione è una: impostare il mio PC,diciamo la mia postazione in modo che se gli rifilano qualche altro malware,da me non arriva (perchè sono sulla stessa rete,in WiFi)
Già ho installato CIS con HIPS attivo e impostato la rete su non fidata.
Consigli? . ..
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Tra un tuffo e l'altro controlla un po questi log caro r16  Comunque ho ripristinato il PC due (PC Adriana) il quale Combofix diceva che userinit.exe era infetto. Riavvio ,rilancio la scansione con l'ultima versione di ComboFix e come per magia quel file non me lo da per infetto,ma in cambio adesso se la piglia con un altro file (che poi è un driver innoquo) Link a LogSecondo me ComboFix piglia abbagli .
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Tra un tuffo e l'altro Magari......  Sto ancora lavorando. (ma oggi è l'ultimo giorno) Commenta:Secondo me ComboFix piglia abbagli . E' possibile.......nessun software è perfetto. Domanda magari idiota: sei sicuro che l'immagine che hai ripristinato fosse pulita vero?
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Ok ; Domanda legittima : Si l'immagine è pulita. Creo sempre l'immagine solo ed esclusivamente a PC appena installato. Non mi collego alla rete se non per fare gli update (e poi subito procedo con l'Immagine) Le successive immagini le creo ripristinando prima quella pulita e poi ricreo l'immagine nuova (sempre con la solita 'politica' vale a dire MAI aprire una pagina del browser. Figuriamoci poi a scaricare file ecc) . PS. Ho appena reinstallato exnovo il PC 'uno' ma 'temo' non lancerò comboFix per vedere cosa dice.. Poi tutto può accadere Vedi il perchè..
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Quella cartella (Boot) dovrebbe stare dove risiede il S.O, e cioè in C:. Poi sinceramente del perchè vada a spasso per le partizioni, non me lo spiego. Pazienza se viene spostata in un settore anomalo, ma sempre in C:Ma addirittura in una partizione, è la prima volta che lo leggo. Ed è logico che se la elimini, il pc è fottuto. Cosa vuoi che ti dica..........fosse il mio pc, lo rovescio come un calzino, e farei manovre finchè non trovo l'inghippo, ma con il tuo, non posso. Commenta:ma 'temo' non lancerò comboFix per vedere cosa dice.. Comprensibile..... Tanto più se il pc funziona bene.
|
|
Rank: AiutAmico
Iscritto dal : 11/29/2013
Posts: 411
|
Ciao . Si è impressionante come la cartella Boot va a finire in D .  Mah..passiamo oltre . Nota personale: Ecco perchè ho un BackUp dell'intero disco,per quel che riguarda me . . ma ho speso pure soldi,tempo e pazienza per fare questo ; cosa che in molti non fanno. (Soldi per l'hard disk esterno) Comunque rifarei pure tutta la procedura ma il PC non è neanche quello della mia compagna (altrimenti ci riprovavo) ma qiuello dei ragazzi,che quando arrivano vogliono ovviamente il Notebook. (ieri ho fatto nottata per l'installazione,Update e compagnia bella..) Dai,ti ringrazio e a limite se abbiamo tempo farò qualche esperimento sul PC 'due' (quello della mia compagna denominato Adriana) Sono curioso di vedere Combofix cosa rileva e cosa non rileva a differenza dell'ultima scansione sullo stesso PC. Una cosa è certa. Le ISO sono quelle ufficiali,quindi il SO è pulito. Salutoni e grazie per ora 
|
|
|
Guest |