Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Worm.Prolaco

Worm.Prolaco Opzioni
Topic Precedente · Topic Sucessivo
tegwane
Inviato: Monday, March 29, 2010 5:22:17 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
Ciao

Dopo aver installato il programma free Format Factory ho fatto una scansione con MBAM e ha trovato un file " postproc-51.dll" che a suo dire è un worm e precisamente " Worm.Prolaco".
Ho fatto analizzare il file on line sia su Virus Total che su Jotti's Malware ma la scansione del file ha dato esito negativo.

Prima di rimuoverlo volevo avere un vostro consiglio su come devo comportarmi.
Attualmente il file è in quarantena.

Grazie
Torna in alto
 
Sponsor
Inviato: Monday, March 29, 2010 5:22:17 PM

 
Torna in alto
 
antonpaco
Inviato: Monday, March 29, 2010 5:31:12 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
il worm prolaco e' un virus fastidioso, bisognerebbe vedere il file intero, posta la scansione di malwarebytes e di hijackthis in questo sezione.
Torna in alto
 
tegwane
Inviato: Monday, March 29, 2010 5:38:14 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
Log di Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.26.27, on 29/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\WINDOWS\system32\oodtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\PeerBlock\peerblock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
I:\PortableApps\Sicureza\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [PeerBlock] C:\Programmi\PeerBlock\peerblock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255620173140
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Programmi\Macrium\Reflect\ReflectService.exe

--
End of file - 6451 bytes
Torna in alto
 
tegwane
Inviato: Monday, March 29, 2010 5:38:47 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
Log MBAM

Malwarebytes' Anti-Malware 1.44
Versione del database: 3922
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29/03/2010 16.52.39
mbam-log-2010-03-29 (16-52-39).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 242
Tempo trascorso: 15 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
c:\programmi\FreeTime\formatfactory\FFModules\postproc-51.dll (Worm.Prolaco) -> Quarantined and deleted successfully.
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 5:59:48 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
se non vado errato(prendilo con beneficio d inventario)format factory viene visto da alcuni antivirus come un virus.se trovo la pagina dove l ho letto(sempre che non prenda un abbaglio)te la posto.
Torna in alto
 
tegwane
Inviato: Monday, March 29, 2010 6:06:26 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
Ok, allora potrebbe trattarsi di un falso positivo.
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 6:10:18 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
da dove l hai scaricato?ho trovato l articolo che ne parlava,ma si trattava della versione portable...non vorrei dirti una cosa per un altra...questo,in fondo alla pagina,è quanto avevo letto:
http://www.istitutomajorana.it/index.php?option=com_content&task=view&id=1170&Itemid=210
Torna in alto
 
tegwane
Inviato: Monday, March 29, 2010 6:34:14 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
L'ho scaricato da Softonic.it

Se nella versione portable si tratta di un falso positivo, come riporta il Prof.Cantaro, credo che si tratti dello stesso falso anche nella versione .exe

Tu che pensi??

Cmq devo dirti che lo uso spesso e non ho avuto mai problemi con il pc.
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 6:56:55 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
softonic è un sito che io reputo sicuro,anche se non si puo' mai dare nulla per scontato.credo che dopo che mbam ti ha quarantinato quella libreria non funzionera' piu'.scaricati la versione portable e guarda se ti da lo stesso falso positivo,io ho provato adesso (ho la versione portable)a scansionarla con mbam e non mi da nulla.
Torna in alto
 
tegwane
Inviato: Monday, March 29, 2010 7:21:53 PM

Rank: AiutAmico

Iscritto dal : 12/20/2003
Posts: 128
Nella versione portable mbam non mi da nulla.

Ho provato a aprire il programma e a fare alcune conversioni, per prova, il programma funziona regolarmente anche se manca quel file.

Mi chiedo allora a che serve e che funzioni ha il file???
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Worm.Prolaco


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.