Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Aiuto! Log di Combofix

5 pages: [1] 2 3 4 5
Aiuto! Log di Combofix Opzioni
Topic Precedente · Topic Sucessivo
dario-vr
Inviato: Sunday, November 01, 2009 7:26:22 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao amici.
Credo di aver ancora problemi, ho idea che l'antivirus sembri apparentemente attivo ma non lo è, anche gli aggiornamenti sembrano a posto ma poi vado a vedere ed è tutto il giorno che ho lo stesso file .dat: non è da ZA nè da Karpersky, visto che è usa questo motore di scansione.

Ecco il log:

ComboFix 09-10-30.01 - Utente 01/11/2009 19.12.59.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.3070.2652 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\command.pif

.
((((((((((((((((((((((((( Files Creati Da 2009-10-01 al 2009-11-01 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-29 17:39 . 2008-04-29 17:39 2 --shatr- c:\windows\winstart.bat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-16 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-16 81920]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-10-28 1037192]
"ISW"="c:\programmi\CheckPoint\ZAForceField\ForceField.exe" [2009-10-27 730480]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-04-09 15360]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Reader Speed Launch.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=


R3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe [2009-05-30 14336]
S0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\System32\drivers\sfsync03.sys [2005-12-06 35328]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programmi\CheckPoint\ZAForceField\ISWKL.sys [2009-10-27 25208]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programmi\CheckPoint\ZAForceField\IswSvc.exe [2009-10-27 476528]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenuto della cartella 'Scheduled Tasks'

2009-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-11-01 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2006-10-10 22:25]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
TCP: {C56E821E-41CB-40C6-86B7-952F2415CF8B} = 85.37.17.44,192.168.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\hcoecvd7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: keyword.enabled - false

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-01 19:17
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x *]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(852)
c:\programmi\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(912)
c:\programmi\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Ora fine scansione: 2009-11-01 19.20.49
ComboFix-quarantined-files.txt 2009-11-01 18:20

Pre-Run: 77.953.196.032 byte disponibili
Post-Run: 78.197.747.712 byte disponibili

- - End Of File - - 604FB72A6B7E547331CC517C4236B096
Torna in alto
 
Sponsor
Inviato: Sunday, November 01, 2009 7:26:22 PM

 
Torna in alto
 
dario-vr
Inviato: Sunday, November 01, 2009 7:58:21 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ed inoltre ho provato con mbr.exe ottenendo però questo:
Log con comando C:\mbr.exe
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !

e con comando C:\mbr.exe -f .. lo stesso risultato!
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !

tutto eseguito in modalità provvisoria.
Torna in alto
 
dario-vr
Inviato: Sunday, November 01, 2009 9:01:10 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Questo invece il report di Gmer:

Gmer log.log
Torna in alto
 
dario-vr
Inviato: Sunday, November 01, 2009 10:21:45 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Questo invece il log di Norman Sinowal Cleaner fatto girare in modalità provvisoria:

NFix_2009-11-01_21-26-05.log

spero nell'aiuto e consiglio di qlc amico esperto.

ciao
Torna in alto
 
r16
Inviato: Sunday, November 01, 2009 11:47:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prova a disistallarlo,(Z.A) fai una pulizia con CCleaner, (registro compreso) Riavvia il pc, e reistallalo.
Il log di Combofix, dice che l'MBR non ha problemi.
In ogni caso fai una scansione con Systemscan:
SYSTEM SCAN

scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 12:13:25 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao r16 eccoti il report di system scan : ci ho provato a dare un'occhiata, ma non mi pronuncio :-) Grazie per il tuo aiuto.
(ora provo a reinstallare la suite di ZA)

report.txt
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 12:19:39 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora...
L'MBR è a posto.
Però (non sò dove vai a prendere le infezioni) scarica questo:
-------
Scarica FindAWF:
http://noahdfear.geekstogo.com/FindAWF.exe 3. Esegui FindAWF,premi un tasto qualsiasi,poi premi il tasto 1 e INVIO, aspetti il log che FindAWF stamperà su un file di testo alla fine della ricerca.
Il filelog lo posti in questa discussione.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 12:37:36 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Mi credi se ti dico che non ho praticamente uato il computer?!
Stamattina quando lo ho acceso ho avuto subito dei sospetti, non so quanto leggittimi.


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 1831-AD81

Directory di C:\WINDOWS\SYSTEM32\BAK

21/07/2007 09.04 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 77.381.885.952 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 13 Apr 2008 "C:\WINDOWS\system32\ctfmon.exe"
15360 9 Apr 2009 "C:\WINDOWS\ERDNT\cache\ctfmon.exe"
15360 21 Jul 2007 "C:\WINDOWS\system32\bak\ctfmon.exe"


end of report

Solo una mia osservazione:
Questi files c'erano già nel report dell'altro topic (il programma C/windows/system32/services.exe chiede accesso ad internet?)
e dalle date esposte sembrano datati, aspetto il tuo responso.

Senti r16 non c'è un modo per vedere se ho qualche virus che impedisce il collegamento con il download delle nuove firme virali che ne so modificando magari il mio file hosts?
Poi ho un dubbio: nel log antivirus di Zone Alarm leggo spesso "scansione all'accesso: errore" senza alcuna altra informazione, anche qui non è che un virus impedisce al mio antivirus di svolgere il suo compito?
Ho pure provato a reinstallare la suite ZA ma senza cambiare esito.
Ho pure aggiornato XP a sp3.

Ciao aspetto come sempre i tuoi preziosi suggerimenti e commenti.
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 2:45:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Code:
Files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\nsk106.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\3b0d3c0a.nmc
C:\DOCUME~1\Utente\IMPOST~1\Temp\3542694c.nmc
C:\WINDOWS\002889_.tmp

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe




Togli la spunta da Scan for Rootkit
Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 3:21:27 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
ciao r16 scusami ma ora non riesco sono in ufficio, lo faccio appena rientro a casa.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 6:21:31 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Eccomi!
Il log di Avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\system32\ctfmon.exe" deleted successfully.

Error: file "C:\DOCUME~1\Utente\IMPOST~1\Temp\nsk106.tmp" not found!
Deletion of file "C:\DOCUME~1\Utente\IMPOST~1\Temp\nsk106.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: "C:\DOCUME~1\Utente\IMPOST~1\Temp\3b0d3c0a.nmc" is a folder, not a file!
Deletion of file "C:\DOCUME~1\Utente\IMPOST~1\Temp\3b0d3c0a.nmc" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: "C:\DOCUME~1\Utente\IMPOST~1\Temp\3542694c.nmc" is a folder, not a file!
Deletion of file "C:\DOCUME~1\Utente\IMPOST~1\Temp\3542694c.nmc" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "C:\WINDOWS\002889_.tmp" deleted successfully.
File move operation "C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe" completed successfully.

Completed script processing.

*******************

Finished! Terminate.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 6:58:08 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 scusa ma ho visto che dopo che mi fai fare certe operazioni l'antivirus sembra potersi aggiornare, poi dopo un po di tempo (10 minuti pù o meno) basta mi da errore download, sarà un caso?

per scrupolo ti elenco ciò che vedo nella seg. directory C:\WINDOWS\system32\drivers\etc:
hosts.txt
hosts.ics
hosts.idx
lmhosts.sam
networks
protocol
services

gli ultimi tre senza estensione

e poi una serie hosts.numeri.backup

volevo inoltre postare un nuovo report di systemscan ma dopo un po si impianta e non va più avanti, questo è quanto ho potuto ottenere
report.txt
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 8:51:28 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ho visto che mbr è pulito per cui ho pensato di ripristinare una vecchia immagine con Acronis, poi rimando il report di system scan
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 9:02:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
dario-vr ha scritto:
Ho visto che mbr è pulito per cui ho pensato di ripristinare una vecchia immagine con Acronis, poi rimando il report di system scan

Buona idea, perchè dovevo farti fare diverse operazioni.
Così invece, si risparmia tempo.
Manda il log di Systemscan.
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 10:50:39 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:
dario-vr ha scritto:
Ho visto che mbr è pulito per cui ho pensato di ripristinare una vecchia immagine con Acronis, poi rimando il report di system scan

Buona idea, perchè dovevo farti fare diverse operazioni.
Così invece, si risparmia tempo.
Manda il log di Systemscan.


ciao purtroppo credo di aver MOLTO bisogno del tuo aiuto!
Log di combofix

ComboFix.txt


Questo è il log di Gmer
logGmer.txt

Systemscan:
report.txt


IL PROBLEMA è SEMPRE quello non riesco ad aggiornare l'antivirus
comincio a disperare! AIUTO!
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 11:27:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Proviamo a sistemarlo in questo modo (MBR):
Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \
premi invio

digita: mbr -f
premi invio

Poi digita: exit
premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 11:37:57 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
niente da fare!

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 11:40:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai il CD d 'installazione originale di Windows?
Torna in alto
 
dario-vr
Inviato: Monday, November 02, 2009 11:40:53 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Perchè Systemscan dice che MBR è a posto?
Combofix afferma il contrario o no?
Torna in alto
 
Utenti presenti in questo topic
Guest

5 pages: [1] 2 3 4 5

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Aiuto! Log di Combofix


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.