Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

il programma C/windows/system32/services.exe chiede accesso ad internet? Opzioni
dario-vr
Inviato: Thursday, October 29, 2009 10:51:44 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Commenta:
Ciao r16 ecco il report di Combofix (qualcosa ha cancellato) attendo istruzioni

Chiamala "qualcosa".....quelle elimininazioni, sono rootkit, ed erano attive.
Domanda: hai MAI fatto connessioni in Remoto? (magari per farti riparare il pc da Remoto)
Fai:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

No, Combofix non ripulisce il file host, è l'infezione, che deve aver manomesso il file host.
Ti consiglio di Disistallare SpyBot, (tea timer compreso) fare una pulizia registro compreso con CCleaner.
Riavvia il pc.
Reistalla Spybot. (senza Tea Timer)
Immunizzando il pc con SpyBot, è possibile che ci sia un pò di rallentamento.


No mai fatto connessioni in remoto perchè?

Senti r16 ora dopo aver usato la stringa %temp% (che però non mi ha permesso di eliminare tutto perchè dice file in uso) mi appare lo scudo rosso del centro sicurezza ed il fw di xp è attivo, ma anche la ZA suite fw compreso, che succede secondo te?
dario-vr
Inviato: Thursday, October 29, 2009 10:57:53 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
se può esser di aiuto questo è il log di hjackthis dopo avere eseguito la pulizia degli ADS con lo stesso programma:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.55.55, on 29/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56E821E-41CB-40C6-86B7-952F2415CF8B}: NameServer = 85.37.17.44,192.168.0.1
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5350 bytes
r16
Inviato: Thursday, October 29, 2009 11:02:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-



e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
dario-vr
Inviato: Thursday, October 29, 2009 11:07:38 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-



e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix


tutto questo lo faccio con connessione internet aperta e ZA attivo?
dario-vr
Inviato: Thursday, October 29, 2009 11:10:18 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
dario-vr ha scritto:
r16 ha scritto:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-



e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix


tutto questo lo faccio con connessione internet aperta e ZA attivo?


A proposito a cosa serve questa procedura? perchè se è per lo scudo rosso ho visto bene e non è attivo il fw di XP ma segnala soltanto che gli aggiornamenti automatici di Windows sono disabilitati.
r16
Inviato: Thursday, October 29, 2009 11:14:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora...ti chiedo un favore : NON quotare le mie risposte....mi trovo meglio.
Per il momento, esegui le indicazioni, poi, verranno le spiegazioni.
Chiudi la connessione e disattiva l'antivirus e il Firewall.
dario-vr
Inviato: Thursday, October 29, 2009 11:33:39 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
ecco il nuov report di Combofix:

ComboFix 09-10-28.08 - Utente 29/10/2009 23.25.17.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.3070.2666 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Utente\Desktop\CFScript.txt
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-09-28 al 2009-10-29 )))))))))))))))))))))))))))))))))))
.

2009-10-28 21:38 . 2009-10-28 21:38 -------- d-----w- c:\documents and settings\Utente\DoctorWeb
2009-10-28 21:17 . 2009-10-28 21:21 -------- d-----w- c:\programmi\Unlocker
2009-10-28 20:34 . 2009-10-28 20:34 -------- d-----w- c:\programmi\VirusTotalUploader

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-29 22:28 . 2009-02-09 17:56 487176736 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-29 22:17 . 2006-06-08 17:14 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-10-29 22:12 . 2006-06-08 17:14 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2009-10-29 22:02 . 2009-02-09 17:56 6506432 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-29 18:28 . 2007-06-09 09:28 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-10-28 22:22 . 2006-05-06 07:40 96256 ----a-w- c:\windows\system32\drivers\sptd0093.sys
2009-10-27 19:40 . 2009-09-26 10:09 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\vlc
2009-10-27 18:37 . 2008-08-14 14:17 -------- d-----w- c:\programmi\Java
2009-10-27 18:37 . 2001-08-31 15:00 74432 ----a-w- c:\windows\system32\perfc010.dat
2009-10-27 18:37 . 2001-08-31 15:00 447874 ----a-w- c:\windows\system32\perfh010.dat
2009-10-27 18:32 . 2008-04-16 17:29 -------- d-----w- c:\programmi\SpywareBlaster
2009-10-27 17:25 . 2006-09-05 17:26 4212 -c-ha-w- c:\windows\system32\zllictbl.dat
2009-10-09 05:35 . 2006-06-09 12:58 -------- d-----w- c:\programmi\eMule
2009-09-26 07:58 . 2009-09-26 07:53 -------- d-----w- c:\programmi\iTunes
2009-09-26 07:55 . 2006-07-02 11:22 -------- d-----w- c:\programmi\iPod
2009-09-26 07:55 . 2007-07-03 07:57 -------- d-----w- c:\programmi\File comuni\Apple
2009-09-26 07:26 . 2006-07-02 11:24 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Apple Computer
2009-09-24 08:37 . 2009-03-06 14:51 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Hamachi
2009-09-14 15:43 . 2009-09-14 15:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-14 15:39 . 2008-12-10 23:10 -------- d-----w- c:\programmi\QuickTime
2009-09-11 16:45 . 2009-01-23 18:51 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-09-11 07:45 . 2008-12-20 13:34 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\dvdcss
2009-09-10 17:17 . 2009-09-10 17:16 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NOS
2009-09-10 17:16 . 2009-09-10 17:16 -------- d-----w- c:\programmi\NOS
2009-09-10 12:54 . 2009-01-23 18:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-01-23 18:51 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-27 15:22 . 2009-08-27 15:22 13698 ----a-w- c:\windows\War3Unin.dat
2009-08-27 15:22 . 2009-08-27 15:22 2829 ----a-w- c:\windows\War3Unin.pif
2009-08-27 15:22 . 2009-08-27 15:22 126976 ----a-w- c:\windows\War3Unin.exe
2006-07-18 13:41 . 2006-06-17 17:32 1019094 -csha-r- c:\programmi\serial.tde
2008-04-29 17:39 . 2008-04-29 17:39 2 --shatr- c:\windows\winstart.bat
.

((((((((((((((((((((((((((((( SnapShot@2009-10-29_17.59.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-07 10:29 . 2009-10-29 20:36 41984 c:\windows\system32\ZoneLabs\zlqrtdb.dat
- 2009-02-07 10:29 . 2009-10-27 20:01 41984 c:\windows\system32\ZoneLabs\zlqrtdb.dat
+ 2009-04-08 17:31 . 2009-10-29 22:18 888760 c:\windows\system32\ZoneLabs\avsys\bases\sfdb.dat
+ 2009-04-08 17:19 . 2009-10-29 18:10 14093550 c:\windows\system32\ZoneLabs\spyware.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-16 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-16 81920]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-03-31 982408]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-04-09 15360]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06/12/2005 16.11.18 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenuto della cartella 'Scheduled Tasks'

2009-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-10-29 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2006-10-10 22:25]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
TCP: {C56E821E-41CB-40C6-86B7-952F2415CF8B} = 85.37.17.44,192.168.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\hcoecvd7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: keyword.enabled - false
FF - plugin: c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\hcoecvd7.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-29 23:28
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x *]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(2384)
c:\programmi\iTunes\iTunesMiniPlayer.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\it.lproj\iTunesMiniPlayerLocalized.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\programmi\Windows Media Player\wmpband.dll
c:\windows\system32\msi.dll
.
Ora fine scansione: 2009-10-29 23.31.02
ComboFix-quarantined-files.txt 2009-10-29 22:31
ComboFix2.txt 2009-10-29 18:04

Pre-Run: 77.161.234.432 byte disponibili
Post-Run: 77.126.836.224 byte disponibili

- - End Of File - - CBB1D6744B393E68EB662DC10422E6CB


r16
Inviato: Thursday, October 29, 2009 11:38:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Riattiva gli Aggiornamenti di Windows Update. (dal Centro Sicurezza PC)
Scarica Windows Worms Doors Cleaner

http://static.commentcamarche.net/en.kioskea.net/download/files/wwdc.exe
Avvia WWDC, e se compaiono delle voci rosse, cliccaci sopra su tutte per correggerle e poi riavvia il PC.
Avvia nuovamente WWDC e le voci dovrebbero essere tutte verdi.

Poi:
Scarica Norman Malware Cleaner:
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
e salvalo sul desktop

Accedi al sistema in modalità provvisoria

lancia Norman ed esegui una scansione completa

al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema


accedi nuovamente al sistema in modalità provvisoria

rilancia Norman ed esegui una seconda scansione completa

al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2

riavvia il sistema in modalità normale

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona i file appena salvati (li carichi uno alla volta)
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
dario-vr
Inviato: Thursday, October 29, 2009 11:42:37 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
non riesco a scaricare wwdc.exe,mentre norman cleaner lo sto scaricando.
r16
Inviato: Thursday, October 29, 2009 11:48:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vero, non lo scarico nemmeno io .
Non ti preoccupare, esegui Norman.
Se hai spybot installato, la scansione sarà lunga.
dario-vr
Inviato: Friday, October 30, 2009 7:31:46 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao r16 in effetti le due scansioni sono state lunghissime.

Ora non riesco a postarti i report, ma lo farò stasera al ritorno a casa, dopo le 18.

Da que.lo che ho visto io e per quel che vale mi sembra che non abbia trovato nulla, però.... aspetto la tua opinione e tante grazie ancora.
Buona giornata a stasera.
Ciao.

PS: comunque ti volevo dire che, per il tempo che ieri sera ho potuto usare il computer, non ricordavo quanto fosse veloce, evidentemente era da tempo che i rootkit e miserie varie infestavano il mio pc.
Ah!... con una scansione di ZA antivirus e anti spyware mi ha trovato tre spyware che ho eliminato.
dario-vr
Inviato: Friday, October 30, 2009 12:23:10 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
ciao r16 son riuscito a passar da casa eccoti i report di norman:

Norman1.log

Norman2.log

aspetto notizie, ciao
r16
Inviato: Friday, October 30, 2009 3:07:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Dario.
Sì, Norman non ha rilevato infezioni, ma volevo essere sicuro che il file Host fosse pulito.
Dimmi che anomalie riscontri adesso.
dario-vr
Inviato: Friday, October 30, 2009 3:09:48 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Ciao Dario.
Sì, Norman non ha rilevato infezioni, ma volevo essere sicuro che il file Host fosse pulito.
Dimmi che anomalie riscontri adesso.


Sinceramente, finora nessuna.

GRAZIE MILLE
r16
Inviato: Friday, October 30, 2009 3:25:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ultimo consiglio:
Aggiorna il Sistema Operativo. (SP3)
Con l'SP2, sarai sempre ad alto rischio.
Ciao!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.