Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » il programma C/windows/system32/services.exe chiede accesso ad internet?

2 pages: [1] 2
il programma C/windows/system32/services.exe chiede accesso ad internet? Opzioni
Topic Precedente · Topic Sucessivo
dario-vr
Inviato: Monday, October 26, 2009 7:58:57 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Salve amici era un bel po che non avevo bisogno di voi ma da qualche giorno mi son accorto che nel log del mio fw Zone Alarm (ho la suite) ci sono una infinità di messaggi programma di questo tipo che ZA blocca: accesso al programma in uscita services.exe "bloccato"

Ora ho cercato di capire se è corretto dare o meno autorizzazione ma non ne ho capito molto! rimane questa tempesta di log .
Aggiungo che smart defense di ZA consiglia di non dare autorizzazione.
Ho fatto scansioni con l'antivirus. spybot e con MBA senza trovare nulla.
Ringrazio sin d'ora chi vorrà intervenire.
Ad ogni buon conto allego il logo di hjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.46.15, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56E821E-41CB-40C6-86B7-952F2415CF8B}: NameServer = 85.37.17.44,192.168.0.1
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5368 bytes
Torna in alto
 
Sponsor
Inviato: Monday, October 26, 2009 7:58:57 PM

 
Torna in alto
 
cbbusto
Inviato: Monday, October 26, 2009 11:40:50 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao dario, lieto di risentirti, il mio è solo un saluto perchè quì non è il mio campo, vedrai che
si farà vivo r16, posso solo suggerirti di installare il SP3 perchè vedo che sei rimasto ancora al 2,
credimi serve molto. Speak to the hand Speak to the hand
Torna in alto
 
r16
Inviato: Monday, October 26, 2009 11:49:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Commenta:
Aggiungo che smart defense di ZA consiglia di non dare autorizzazione.

Segui quel consiglio.
Perchè rischiare di dare un assenso, se non si conoscono le conseguenze.
C:\WINDOWS\system32\services.exe il percorso, è corretto.
E giustamente, come consigliato da cbbusto , installa il SP3.
Dimenticavo: il log è pulito.
Torna in alto
 
dario-vr
Inviato: Tuesday, October 27, 2009 7:31:12 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao ragazzi e grazie ancora per i suggerimenti.

cbbusto è allora? credo cha anche per questo anno ci "dovremo accontentare" del solo scudetto.Angel

Ciao r16 il bimbo cresce che è un piacere vederlo eh?!Angel

Avevo posto il quesito perchè dopo un paio di crash del sistema con firefox aperto avevo qualche sospetto e rovistando per il pc ho visto questi log, ma a dire il vero per il resto tutto ok.
Torna in alto
 
cbbusto
Inviato: Tuesday, October 27, 2009 10:02:01 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Caro dario penso proprio che tu abbia ragione, siamo forti in Italia ma in Europa sembra
che giochi un altra squadra, contrariamente a quello che succede al Milan, staremo a vedere.Pray

Ciao
Torna in alto
 
dario-vr
Inviato: Wednesday, October 28, 2009 11:43:07 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Ciao.
Commenta:
Aggiungo che smart defense di ZA consiglia di non dare autorizzazione.

Segui quel consiglio.
Perchè rischiare di dare un assenso, se non si conoscono le conseguenze.
C:\WINDOWS\system32\services.exe il percorso, è corretto.
E giustamente, come consigliato da cbbusto , installa il SP3.
Dimenticavo: il log è pulito.


ciao r16 ..... sì il percorso è corretto ma non il suo funzionamento!
infatti avevo (spero ora debellato) il rootkit MBR!
Mi sono accorto perchè avevo in C/documents and settings un nuovo utente: HelpAssistant!!! che mi copiava tutti i files!

Ho eseguito alla lettera la procedura che molto spesso hai suggerito a tanti utenti con mbr.exe e mbr.exe-f (in modalità provvisoria e con ripristino disattivato, ed ora il computer va che è una bomba!
Non mi spiego però perchè se ora eseguo in modalità normale ancora la stringa C:\mbr.exe mi da questo log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !

Ho eseguito scansioni con Gmer e con Prevxcsifree che non hanno trovato niente!
ho letto che è già capitato qualcosa di simile con un altro utente, falso positivo di mbr.exe???

Hai qualche idea? qualche suggerimento?
se non leggo stasera leggo domani dall'ufficio ma fino a sera non potrò intevernire su questo pc che è di di casa.

ciao e grazie ancora
Torna in alto
 
r16
Inviato: Wednesday, October 28, 2009 11:48:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Meglio dare un'occhiata più approfondita:
Scarica Systemscan:
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

P.S:
Sicuro di avere digitato bene e giusto: mbr.exe -f
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 12:15:13 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Meglio dare un'occhiata più approfondita:
Scarica Systemscan:
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

P.S:
Sicuro di avere digitato bene e giusto: mbr.exe -f



ciao spero di non essere in ritardo:

report.txt


PS: sì C.:\mbr.exe -f
ripetuta per tre volte la procedura.
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 12:23:37 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Vabbè dai sarai a letto, a domani grazie r16 .. buona notte.

PS: mi sembra per quel poco che so di non aver rootkit dal report, ma per il resto non ci capisco niente!!
Torna in alto
 
r16
Inviato: Thursday, October 29, 2009 12:36:59 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
A me, invece, mi sembra che ci sia un rootkit, e vorrei vederci chiaro:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 7:34:04 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
A me, invece, mi sembra che ci sia un rootkit, e vorrei vederci chiaro:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)


Ciao r16.
Ok farò ciò che mi consigli, ma potrò farlo solo stasera al mio ritorno a casa, diciamo dopo le 18.30.
A proposito mi sembra di aver letto che Combo.fix lo dovrei salvare con un nome di fantasia, o sbaglio e faccio confusione?
E... devo disabilitare nuovamente il ripristino?
Ma secondo te perchè non ha funzionato la procedura mbr.exe?
Per ulteriore tua informazione la prima volta che l'ho eseguita nel file mbr.txt era scritto che era stato fixxato. Poi le altre due volte in vece no.
Inoltre non c'è più quella cartella in C/documents and settings/HelpAssistant.

Grazie ancora sei un vero Amico.
Torna in alto
 
r16
Inviato: Thursday, October 29, 2009 2:15:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
1)Combofix, lo salvi con un nome di fantasia (lo rinomini) solo se, con la procedura normale, non si riesce a scaricarlo.
2)Si, disabilita il Ripristino,
3)MBR.exe, ha funzionato. Nel log di Systemscan, l'MBR, è corretto.
4) Aspettiamo la scansione di Combofix, per vedere se rileva il Rootkit. (è un "rimasuglio")
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 2:36:21 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Ciao.
1)Combofix, lo salvi con un nome di fantasia (lo rinomini) solo se, con la procedura normale, non si riesce a scaricarlo.
2)Si, disabilita il Ripristino,
3)MBR.exe, ha funzionato. Nel log di Systemscan, l'MBR, è corretto.
4) Aspettiamo la scansione di Combofix, per vedere se rileva il Rootkit. (è un "rimasuglio")


Ok grazie ancora stasera quando rientro a casa eseguo quanto mi hai detto.

Sai (e tu lo sai perchè una volta me lo hai scirtto) sono molto curioso e mi piace andare a fondo ai problemi, vorrei sempre capire il perchè di tutto.
Dove è che dal report vedi che c'è qualcosa che non va?
E poi mi piacerebbe tanto imparare sempre più, tu come hai fatto a specializzarti così profondamente?
Sei veramente in gamba.Applause
Torna in alto
 
r16
Inviato: Thursday, October 29, 2009 3:22:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
===================== HIDDEN OBJECTS (Che vuol dire: oggetti nascosti) =====================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
Questa chiave, potrebbe essere legittima, (DAEMON Tools) ma non mi piace perchè è nascosta.
Comunque aspettiamo.

===================== MASTER BOOT RECORD =====================


device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Come vedi, è tutto a posto.
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 4:05:35 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
===================== HIDDEN OBJECTS (Che vuol dire: oggetti nascosti) =====================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
Questa chiave, potrebbe essere legittima, (DAEMON Tools) ma non mi piace perchè è nascosta.
Comunque aspettiamo.

===================== MASTER BOOT RECORD =====================


device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Come vedi, è tutto a posto.


Ciao, sì avevo visto anch'io il log dell'mbr e lo avevo interpretato corretto.
Piuttosto, vado a memoria, perché non sono con il pc in oggetto, ma ricordo che entrando in modalità provvisoria appare una videata veloce che chiede conferma se voglio caricare o meno il file spdt.sys, che credo sia in qualche modo collegato a Daemon tools.
Onestamente trattandosi del computer di mio figlio non ti so nemmeno dire se mai ha usato o se ancora usa un qualche giochino della Daemon tools.

Comunque stasera eseguo la scansione con Combo.fix e vediamo.
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 4:08:59 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
dario-vr ha scritto:
r16 ha scritto:
===================== HIDDEN OBJECTS (Che vuol dire: oggetti nascosti) =====================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
Questa chiave, potrebbe essere legittima, (DAEMON Tools) ma non mi piace perchè è nascosta.
Comunque aspettiamo.

===================== MASTER BOOT RECORD =====================


device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Come vedi, è tutto a posto.


Ciao, sì avevo visto anch'io il log dell'mbr e lo avevo interpretato corretto.
Piuttosto, vado a memoria, perché non sono con il pc in oggetto, ma ricordo che entrando in modalità provvisoria appare una videata veloce che chiede conferma se voglio caricare o meno il file spdt.sys, che credo sia in qualche modo collegato a Daemon tools.
Onestamente trattandosi del computer di mio figlio non ti so nemmeno dire se mai ha usato o se ancora usa un qualche giochino della Daemon tools.

Comunque stasera eseguo la scansione con Combofix e vediamo.
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 7:07:52 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
Ciao.
1)Combofix, lo salvi con un nome di fantasia (lo rinomini) solo se, con la procedura normale, non si riesce a scaricarlo.
2)Si, disabilita il Ripristino,
3)MBR.exe, ha funzionato. Nel log di Systemscan, l'MBR, è corretto.
4) Aspettiamo la scansione di Combofix, per vedere se rileva il Rootkit. (è un "rimasuglio")


Ciao r16 ecco il report di Combofix (qualcosa ha cancellato) attendo istruzioni Angel

ComboFix 09-10-28.08 - Utente 29/10/2009 18.47.49.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.3070.2679 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
ADS - svchost.exe: deleted 88 bytes in 2 streams.
ADS - ntoskrnl.exe: deleted 88 bytes in 2 streams.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\etc\lmhosts
c:\windows\system32\Drivers\waeearlvvild.sys
c:\windows\system32\Drivers\wjdmwdfdcgpj.sys
c:\windows\system32\Drivers\wxpyxuqbebcg.sys

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_waeearlvvild
-------\Legacy_wjdmwdfdcgpj
-------\Legacy_wxpyxuqbebcg
-------\Service_waeearlvvild
-------\Service_wjdmwdfdcgpj
-------\Service_wxpyxuqbebcg


((((((((((((((((((((((((( Files Creati Da 2009-09-28 al 2009-10-29 )))))))))))))))))))))))))))))))))))
.

2009-10-28 21:51 . 2009-10-28 21:51 77312 ----a-w- C:\mbr.exe
2009-10-28 21:38 . 2009-10-28 21:38 -------- d-----w- c:\documents and settings\Utente\DoctorWeb
2009-10-28 21:17 . 2009-10-28 21:21 -------- d-----w- c:\programmi\Unlocker
2009-10-28 20:34 . 2009-10-28 20:34 -------- d-----w- c:\programmi\VirusTotalUploader

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-29 18:01 . 2009-02-09 17:56 483972640 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-29 17:51 . 2009-02-09 17:56 6484088 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-28 22:33 . 2006-06-08 17:14 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-10-28 22:33 . 2007-06-09 09:28 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-10-28 22:22 . 2006-05-06 07:40 96256 ----a-w- c:\windows\system32\drivers\sptd0093.sys
2009-10-27 19:40 . 2009-09-26 10:09 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\vlc
2009-10-27 18:37 . 2008-08-14 14:17 -------- d-----w- c:\programmi\Java
2009-10-27 18:37 . 2001-08-31 15:00 74432 ----a-w- c:\windows\system32\perfc010.dat
2009-10-27 18:37 . 2001-08-31 15:00 447874 ----a-w- c:\windows\system32\perfh010.dat
2009-10-27 18:32 . 2008-04-16 17:29 -------- d-----w- c:\programmi\SpywareBlaster
2009-10-27 17:25 . 2006-09-05 17:26 4212 -c-ha-w- c:\windows\system32\zllictbl.dat
2009-10-09 05:35 . 2006-06-09 12:58 -------- d-----w- c:\programmi\eMule
2009-09-26 07:58 . 2009-09-26 07:53 -------- d-----w- c:\programmi\iTunes
2009-09-26 07:55 . 2006-07-02 11:22 -------- d-----w- c:\programmi\iPod
2009-09-26 07:55 . 2007-07-03 07:57 -------- d-----w- c:\programmi\File comuni\Apple
2009-09-26 07:26 . 2006-07-02 11:24 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Apple Computer
2009-09-24 08:37 . 2009-03-06 14:51 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\Hamachi
2009-09-14 15:43 . 2009-09-14 15:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-14 15:39 . 2008-12-10 23:10 -------- d-----w- c:\programmi\QuickTime
2009-09-11 16:45 . 2009-01-23 18:51 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-09-11 07:45 . 2008-12-20 13:34 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\dvdcss
2009-09-10 17:17 . 2009-09-10 17:16 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NOS
2009-09-10 17:16 . 2009-09-10 17:16 -------- d-----w- c:\programmi\NOS
2009-09-10 12:54 . 2009-01-23 18:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-01-23 18:51 19160 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-09-09 16:23 . 2006-06-08 17:14 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2009-08-27 15:22 . 2009-08-27 15:22 13698 ----a-w- c:\windows\War3Unin.dat
2009-08-27 15:22 . 2009-08-27 15:22 2829 ----a-w- c:\windows\War3Unin.pif
2009-08-27 15:22 . 2009-08-27 15:22 126976 ----a-w- c:\windows\War3Unin.exe
2006-07-18 13:41 . 2006-06-17 17:32 1019094 -csha-r- c:\programmi\serial.tde
2008-04-29 17:39 . 2008-04-29 17:39 2 --shatr- c:\windows\winstart.bat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-16 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-16 81920]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-03-31 982408]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-04-09 15360]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [06/12/2005 16.11.18 35328]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/08/2004 14.39.46 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenuto della cartella 'Scheduled Tasks'

2009-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-10-28 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2006-10-10 22:25]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
TCP: {C56E821E-41CB-40C6-86B7-952F2415CF8B} = 85.37.17.44,192.168.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\hcoecvd7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: keyword.enabled - false
FF - plugin: c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\hcoecvd7.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

SafeBoot-aawservice



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-29 18:59
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x *]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1216)
c:\programmi\iTunes\iTunesMiniPlayer.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\it.lproj\iTunesMiniPlayerLocalized.dll
c:\programmi\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\programmi\Windows Media Player\wmpband.dll
c:\windows\system32\msi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\drivers\KodakCCS.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2009-10-29 19.04.12 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-10-29 18:04

Pre-Run: 77.258.313.728 byte disponibili
Post-Run: 77.189.308.416 byte disponibili

- - End Of File - - 947EA7C1C06FCD64DEB8063361DB686D
Torna in alto
 
dario-vr
Inviato: Thursday, October 29, 2009 7:31:06 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 una domanda: ho visto che l'immunizzazione dei file host di Spy bot non è più attiva, la devo ripristinare? E' probabile che Combofix mi abbia ripulito tutto il file host?
Torna in alto
 
r16
Inviato: Thursday, October 29, 2009 9:43:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Ciao r16 ecco il report di Combofix (qualcosa ha cancellato) attendo istruzioni

Chiamala "qualcosa".....quelle elimininazioni, sono rootkit, ed erano attive.
Domanda: hai MAI fatto connessioni in Remoto? (magari per farti riparare il pc da Remoto)
Fai:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

No, Combofix non ripulisce il file host, è l'infezione, che deve aver manomesso il file host.
Ti consiglio di Disistallare SpyBot, (tea timer compreso) fare una pulizia registro compreso con CCleaner.
Riavvia il pc.
Reistalla Spybot. (senza Tea Timer)
Immunizzando il pc con SpyBot, è possibile che ci sia un pò di rallentamento.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » il programma C/windows/system32/services.exe chiede accesso ad internet?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.