Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus? qualcuno può controllarmi il log di hijack, grazie

4 pages: [1] 2 3 4
virus? qualcuno può controllarmi il log di hijack, grazie Opzioni
Topic Precedente · Topic Sucessivo
Nemus
Inviato: Thursday, June 25, 2009 10:16:08 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Il pc si spegne e si riavvia continuamente, al riavvio il mio antivirus( Kaspersky 2009 con licenza ) lancia diversi allarmi (database corrotti, funzioni disabilitate ecc), ho provato a disistallare e reinstallare l'antivirus( come consigliatomi dall'assistenza di Kis, ma senza risultato) in modalità normale ho provato a fare scansioni sia con superantispyware che malwarebit ma si bloccano, ho poi provato in provvisoria e funzionano, ma non trovano nulla.
Nel monitor di rete ho notato il file svchost.exe che produce un flusso in uscita, è lui il colpevole?
Allego un log di Hijackthis, grazie.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.59.08, on 25/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Upsmon\Upsag_nt.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\internet explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.futuraelettronic.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [Shockwave Updater] "C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE" -Update -1100429 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; MS Internet Explorer)
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207600622890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228223351765
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9927FC4-4077-450F-BF78-FA96032C1E3E}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Upsagent - UPS Monitor (Upsagent) - RPS S.p.a. - C:\Programmi\Upsmon\Upsag_nt.exe

--
End of file - 9979 bytes
Torna in alto
 
Sponsor
Inviato: Thursday, June 25, 2009 10:16:08 PM

 
Torna in alto
 
superromu
Inviato: Thursday, June 25, 2009 10:36:13 PM

Rank: AiutAmico

Iscritto dal : 1/2/2009
Posts: 114
Salve Nemus,
il suo computer risulta al 100% sicuro e senza una minaccia, ne faccia sempre buon uso.
Torna in alto
 
Nemus
Inviato: Thursday, June 25, 2009 10:40:53 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Grazie, ma non è così, dopo aver scritto il messaggio, ho iniziato una scansione online, non è ancora finita ma ha già rilevato 2 trojan, grazie comunque per la pronta risposta
Torna in alto
 
r16
Inviato: Thursday, June 25, 2009 11:18:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
superromu ha scritto:
Salve Nemus,
il suo computer risulta al 100% sicuro e senza una minaccia, ne faccia sempre buon uso.

Mi chiedo perchè continui a dare informazioni sbagliate e non vere.
Lo fai apposta, o perchè hai solo voglia di scrivere cazzate?
Mi spieghi, con i problemi che ha descritto Nemus , come fà il pc a essere "sicuro al 100%"?
E' la seconda volta che te lo dico: Non dare indicazioni, se non sai di cosa si tratta.

@Nemus :
Se puoi, posta il log della scansione on-line.
Oppure posta solo i file infetti, che ha trovato.

Poi fai questa scansione:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)
Torna in alto
 
Nemus
Inviato: Saturday, June 27, 2009 1:59:25 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Grazie r16 per l'aiuto, scusa se non ho risposto prima, ma il pc è peggiorato, lo accendo e dopo poco si spegne, ho lanciato combofix una 50 di volte, ma il pc si riavviava prima che finisse, ma alla vine è riuscito ad elaborare il report. che allego di seguito.
Una cosa, l'immagine che avevo scelto per il descktop era sparita e non c'era modo di sostituirla, semplicemente non la prendeva, ma durante l'elaborazione di combofix è riapparsa miracolosamente, non sò cosa perchè, ma ho pensato che ti fosse utile saperlo.

Ho notato che lavorando con l'antivirus spento il pc impiega più tempo a riavviarsi rispetto a quando è in funzione

ComboFix 09-06-26.02 - Massy 27/06/2009 13.43.21.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.2303.1873 [GMT 2:00]
Eseguito da: c:\documents and settings\Massy\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-05-27 al 2009-06-27 )))))))))))))))))))))))))))))))))))
.

2009-06-26 20:13 . 2009-06-26 20:13 152576 ----a-w- c:\documents and settings\Massy\Dati applicazioni\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-18 12:59 . 2009-06-18 20:10 33808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\klbg.sys
2009-06-18 12:59 . 2009-06-18 20:10 213520 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\XP\klif.sys
2009-06-18 12:59 . 2009-06-18 20:10 21256 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\vkbd.dll
2009-06-18 12:58 . 2009-06-18 20:10 861448 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\updater.dll
2009-06-18 12:58 . 2009-06-18 20:10 83208 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\mzvkbd.dll
2009-06-18 12:58 . 2009-06-18 20:10 62728 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\ievkbd.dll
2009-06-18 12:58 . 2009-06-18 20:10 43784 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\fssync.dll
2009-06-18 12:58 . 2009-06-18 20:10 365832 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\ckahum.dll
2009-06-18 12:58 . 2009-06-18 20:10 201992 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\avp.exe
2009-06-18 12:46 . 2009-06-18 12:59 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-18 12:46 . 2009-06-18 12:59 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-18 12:46 . 2009-06-27 11:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-06-18 12:46 . 2009-06-27 11:40 344096 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-18 12:46 . 2009-06-27 11:40 1813536 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-18 12:46 . 2009-06-18 12:46 -------- d-----w- c:\programmi\Kaspersky Lab
2009-06-06 21:54 . 2009-06-06 21:54 -------- d-----w- C:\Documenws and Settings
2009-06-06 11:42 . 2009-06-06 11:42 -------- d-----w- c:\windows\system32\%PersonalRootCertificateFolder%
2009-06-03 19:54 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-06-03 19:54 . 2009-06-03 19:54 -------- d-----w- c:\programmi\PDFCreator
2009-06-03 19:54 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-27 11:41 . 2009-03-17 12:35 117760 ----a-w- c:\documents and settings\Massy\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-06-27 11:40 . 2009-06-18 12:46 2256 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-27 11:40 . 2009-06-18 12:46 16296 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-27 10:50 . 2008-04-07 20:30 -------- d-----w- c:\programmi\eMule
2009-06-26 20:13 . 2008-11-21 10:02 -------- d-----w- c:\programmi\Java
2009-06-26 20:12 . 2008-04-07 20:34 -------- d-----w- c:\documents and settings\Massy\Dati applicazioni\Skype
2009-06-25 11:35 . 2008-12-06 11:09 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-06-25 11:35 . 2009-01-08 10:42 3561743 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-06-24 11:36 . 2009-01-02 11:20 -------- d-----w- c:\programmi\Upsmon
2009-06-18 20:10 . 2008-01-29 16:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-17 09:27 . 2008-12-06 11:09 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 09:27 . 2008-12-06 11:09 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-09 19:08 . 2008-04-07 19:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-06-08 18:55 . 2009-03-28 15:46 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Autodesk
2009-06-06 21:50 . 2006-03-02 12:00 69790 ----a-w- c:\windows\system32\perfc010.dat
2009-06-06 21:50 . 2006-03-02 12:00 437644 ----a-w- c:\windows\system32\perfh010.dat
2009-06-01 20:28 . 2009-03-13 21:40 -------- d-----w- c:\programmi\FTP Commander
2009-05-07 15:41 . 2006-03-02 12:00 346112 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2006-03-02 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:44 . 2006-03-02 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 20:08 . 2006-03-02 12:00 1846656 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 15:16 . 2006-03-02 12:00 584192 ----a-w- c:\windows\system32\rpcrt4.dll
2009-03-07 08:03 . 2009-03-07 07:57 24 --sh--w- c:\windows\S6E5D15AA.tmp
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-28 39408]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-06-13 16377344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2008-06-17 185896]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-09-06 413696]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-06-18 201992]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2007-02-28 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - c:\programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe [2008-5-22 929861]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 18.29.38 33808]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [15/01/2009 17.17.40 8944]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [15/01/2009 17.17.38 55024]
R2 713xTVCard;SAA7130 TV Card;c:\windows\system32\drivers\SAA713x.sys [21/07/2008 19.07.26 279552]
R2 Upsagent;Upsagent - UPS Monitor;c:\programmi\Upsmon\Upsag_nt.exe [14/11/2008 16.07.54 680544]
R2 WDMTVTuner;Universal WDM TV Tuner;c:\windows\system32\drivers\WDMTuner.sys [21/07/2008 19.07.45 25984]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13/03/2008 19.02.46 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25/03/2008 20.07.10 24592]
R3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [24/02/2005 12.29.14 162176]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [15/01/2009 17.17.42 7408]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\11.tmp --> c:\windows\system32\11.tmp [?]
S3 Usblink;Usblink Driver;c:\windows\system32\drivers\ulink.sys [07/04/2008 19.34.33 37616]
.
Contenuto della cartella 'Scheduled Tasks'

2009-03-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-06-27 c:\windows\Tasks\AWC AutoSweep.job
- c:\programmi\IObit\Advanced SystemCare 3\AutoSweep.exe [2008-12-05 15:35]

2009-05-01 c:\windows\Tasks\AWC Update.job
- c:\programmi\IObit\Advanced SystemCare 3\IObitUpdate.exe [2008-12-05 15:12]

2009-06-27 c:\windows\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.futuraelettronic.com/
mStart Page = about:blank
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Download Video - http://www.viloader.net/addon.htm
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Massy\Dati applicazioni\Mozilla\Firefox\Profiles\e2btwn51.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - MyStart Cerca
FF - prefs.js: browser.startup.homepage - www.futuraelettronic.com
FF - prefs.js: keyword.URL - hxxp://mystart.magentic.com/?loc=FF_Magentic_AddressBar&search=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin8.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-27 13:45
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\11.tmp"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}]
@=""

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\ProgId]
@="MSSTDFMT.StdDataFormat.1"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\Programmable]
@=""

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\TypeLib]
@="{6B263850-900B-11D0-9484-00A0C91110ED}"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{6D835690-900B-11D0-9484************\VersionIndependentProgID]
@="MSSTDFMT.StdDataFormat"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(1920)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2009-06-27 13.47.53
ComboFix-quarantined-files.txt 2009-06-27 11:47

Pre-Run: 65.180.438.528 byte disponibili
Post-Run: 65.167.007.744 byte disponibili

175
Torna in alto
 
Nemus
Inviato: Saturday, June 27, 2009 5:53:01 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Help !!!!! ;O(
Torna in alto
 
paolopa
Inviato: Saturday, June 27, 2009 8:35:41 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
intanto che aspetti r16 che,sono certo ti risolvera' il problema,perchè non fai una scansione online?male non puo farti,e potrebbe levarti qualche intruso.devi usare internet explorer.
http://www.bitdefender.com/scanner/online/free.html
Torna in alto
 
Nemus
Inviato: Saturday, June 27, 2009 8:48:08 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Grazie per il consiglio, ho fatto una scansione online su kaspersky lab (kaspersky è anche il mio antivirus) ed ho trovato un troian di nome unkis.reg, a questo punto il pc si è riavviato senza concludere tutta la procedura, ho, allora, contattato l'assistenza e mi hanno dato una procedura da eseguire alla fine della quale fare una scansione con il mio antivirus.
L'intruso è stato eliminato,il pc è andato bene fino al riavvio poi i problemi si sono presentati, in più adesso noto che il pc si è rallentato. puoi aiutarmi? grazie per l'interesse :O)
Torna in alto
 
Nemus
Inviato: Saturday, June 27, 2009 8:49:10 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Provo intato a fare un altra scansione all'indirizzo che mi hai dato
Torna in alto
 
paolopa
Inviato: Saturday, June 27, 2009 8:59:50 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
ti auguro un enorme"inboccaallupo",io a volte ho risolto cosi' facendo.purtroppo le mie conoscenze non sono tali da poterti aiutare in altro modo...mi spiace.
Torna in alto
 
r16
Inviato: Saturday, June 27, 2009 11:08:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Combofix non ha rilevato niente.
E anche il log è pulito.
Non vorrei fosse un problema hardware.
Scarica Systemscan:
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 3:35:03 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
Warning! You should have already downloaded the last Systemscan version (sys49910.exe).
If you can't download it probably your browser or your firewall is blocking popups.
Please enable popup on your PC and try again.

Systemscan will be available within 140 seconds.

questo è quello che mi appare quando provo a scaricarlo ma: ho tolto il blocco popup, spento l'antivirus e il firewall, e sono sicuro di non averlo mai scaricato ( per sicurezza ho controllato, ma nel mio hd non ce ne è traccia)
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 4:48:01 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
ho provato a fare scansioni online su altri siti, ma su tutti mi dava un messaggio di errore, allora ho rieseguito la procedura datami dall'assistenza di karspesky.
Ho disistallati l'antivirus, l'ho reinstallato, aggiornato e fatto partire una scansione( che stà ancora eseguendo ), quando era al 26% mi ha trovato lo stesso Trojan che aveva trovato 2 giorni fa

"Trojan WinReg.Antiav.a in C:\document and settyng\massy\impostazioni locali\temp\unkis.reg

Questo file lo aveva trovato ed eliminato già la prima volta, e fino a quando non ho riavviato, il pc è andato bene, sono quindi sicuro al 99%( visto l'esperienza precedente) che se ora riavvio il pc tutti i problemi ritornano.

cosa devo fare per eliminarla definitivamente ed essere sicuro che non abbia altri file correlati a questa infezione?

grazie per la pazienza e l'aiuto datomi fin'ora
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 5:00:47 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
la prima volta che ha trovato l'infezione, al termine della scansione ho eliminato i file nella cartella c:\windows\prefecht e nella cartella temp
Torna in alto
 
r16
Inviato: Sunday, June 28, 2009 5:37:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Era per questo che volevo una scansione con Systemscan.
Ci avrebbe detto qual'era la chiave.
Prova cosi:
Start\Esegui\ digita regedit e poi ok.

Vai con il mouse sopra la chiave: HKEY_LOCAL_MACHINE
Clicca con il destro.
Scegli: Trova.
Copia -incolla questo file unkis.reg
E batti Invio.
Dimmi se lo trova.
Stessa operazione su:
HKEY_CURRENT_USER
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 6:13:30 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
in entrambe i casi mi appare "è stata portata a termine la ricerca nel registro di sistema" premo ok e non mi dice altro
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 6:15:08 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
nella cartella temp ci sono due file con estensione tmp che nn si fanno cancellare ( da dopo la scansione non ho più riavviato il pc)
Torna in alto
 
r16
Inviato: Sunday, June 28, 2009 6:23:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai cosi:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)

Segui questo percorso manualmente, e vedi se trovi questo file:
C:\document and settyng\massy\impostazioni locali\temp\unkis.reg
Se lo trovi lo elimini.
Poi SENZA RIAVVIARE il pc, prova a far partire Systemscan.
Se non parte subito, abbi pazienza, aspetta i "140 secondi".
(Systemscan will be available within 140 seconds.)
Torna in alto
 
Nemus
Inviato: Sunday, June 28, 2009 6:31:38 PM

Rank: AiutAmico

Iscritto dal : 1/25/2002
Posts: 145
ho fatto come hai detto e in temp unkis.reg non c'è, per quanto riguarda systemscan, non lo carica, questa volta è apparso

Warning! You should have already downloaded the last Systemscan version (sys64005.exe).
If you can't download it probably your browser or your firewall is blocking popups.
Please enable popup on your PC and try again.

Systemscan will be available within 21 seconds.


ma sono già passati + di 5 minuti e nn succede nulla
Torna in alto
 
Utenti presenti in questo topic
Guest

4 pages: [1] 2 3 4

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus? qualcuno può controllarmi il log di hijack, grazie


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.