Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

X r16, Malware Opzioni
francesca64
Inviato: Wednesday, January 27, 2010 8:23:45 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
Ieri,ho fatto casualmente una scansione con MB ed ha trovato 5 malware che ho subito rimosso.
Oggi ho ripetuto la scansione e...... voilà rieccoli allo stesso posto,non posso allegare il log poichè non era spuntata la relativa casella allego i file in quarantena e il log di HJT.Grazie,ciao.
P.S. premetto che oggi non ho quasi usato il pc,ho solo visionato il mio blog........ può dipendere da qualche gadget installato?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.00, on 27/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hasplms.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Programmi\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
E:\CodySafe\Launcher.exe
E:\PortableApps\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60341
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60341
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programmi\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe

--
End of file - 7747 bytes
Sponsor
Inviato: Wednesday, January 27, 2010 8:23:45 PM

 
maopapof
Inviato: Wednesday, January 27, 2010 8:30:33 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,185
fi prima una pulizia e poi riaccendi in modalità provvisoria e fai una scansone completa e poise li trovi ... quaanten e vedi se tutto poi funonzia bene ,,,, ciao e buon lavoro :O)

maopapof
Inviato: Wednesday, January 27, 2010 8:31:20 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,185
fi prima una pulizia e poi riaccendi in modalità provvisoria e fai una scansone completa e poise li trovi ... quaanten e vedi se tutto poi funonzia bene ,,,, ciao e buon lavoro :O)

francesca64
Inviato: Wednesday, January 27, 2010 8:36:14 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
maopapof ha scritto:
fi prima una pulizia e poi riaccendi in modalità provvisoria e fai una scansone completa e poise li trovi ... quaanten e vedi se tutto poi funonzia bene ,,,, ciao e buon lavoro :O)


mao....... mi serve un interprete..........
faccio pulizie di che? con che? se ti riferisci a ccleaner già fatto,
vado in provvisoria e scansiono con che? antivirus?tutto pulito.
funziona tutto bene,volevo solo capire questi malware che si ripetono.
grazie comunque
paolopa
Inviato: Wednesday, January 27, 2010 8:49:27 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
solo per rasserenarti un poco ti diro' che la scansione online non rileva righe da fixare.quello che ha trovato malwarebytes si trova nella cartella restore,che è dove vengono ammassate le immagini di sistema relative ai vari punti di ripristino(e li non possono nuocere),tutto sta a vedere quando e come vi sono state immesse.non ti do consigli sull eliminazione perchè preferisco che ti assista r16 che sa certamente meglio di me quello che è giusto fare e quando farlo.
bazzurlone
Inviato: Wednesday, January 27, 2010 8:52:43 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Eh,in effetti mao ha un linguaggio a volte particolare. I malaware trovati risiedono nella cartella restore dove win fa i punti di ripristino. Per il momento non sono nocivi, a meno che tu non ripristini il sistema per qualche motivo. Per eliminarli bisogna disattivare il ripristino.(scusa la ripetizione di "ripristino"). Secondo me una volta fatta quell'operazione dovresti stare tranquilla,comunque , per seguire le linee del forum ti consiglio di aspettare il benestare di r16
francesca64
Inviato: Wednesday, January 27, 2010 8:54:00 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
paolopa ha scritto:
solo per rasserenarti un poco ti diro' che la scansione online non rileva righe da fixare.quello che ha trovato malwarebytes si trova nella cartella restore,che è dove vengono ammassate le immagini di sistema relative ai vari punti di ripristino(e li non possono nuocere),tutto sta a vedere quando e come vi sono state immesse.non ti do consigli sull eliminazione perchè preferisco che ti assista r16 che sa certamente meglio di me quello che è giusto fare e quando farlo.


grazie Paolo,
io sono di pulizie facili......... ho già eliminato.
La cosa strana è che ho ripulito ieri e oggi me li ritrovo e non avendo usato internet,se non per il blog,mi sembra alquanto strano,per il resto il pc non mi da problemi come detto ho fatto la scansione solo casualmente.
Ciao,grazie per l'aiuto.

EDIT leggo adesso il post di Bazzurlone,
ti ringrazio per i suggerimenti.Ciao
bazzurlone
Inviato: Wednesday, January 27, 2010 8:54:15 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Ops!!!!!!!!!!!!doppio post, scusate
paolopa
Inviato: Wednesday, January 27, 2010 8:57:52 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
francesca te li ritroverai sempre perchè gli antitutto non possono agire nella cartella restore,per eliminarli devi eliminare i punti di ripristino,che è un operazione semplicissima,ma io aspetterei che sia r16 a dirti di farlo,perchè a volte avere un punto di ripristino,anche infetto,rappresenta un paracadute,nel caso di un errore durante una bonifica.

@bazzurlone:meglio due che nessuno!!! :-)))
maopapof
Inviato: Wednesday, January 27, 2010 9:16:12 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,185
:O))))))))))) ..... scusatemi ..... :O)

fai prima una pulizia dei temporanei e del registro .... e poi riaccendi in modalità provvisoria fai una scansione completa e se trovi qualcosa ... metti tutto in quarantena e vedi se tutto poi funonzia bene ,,,, ciao e buon lavoro :O)

enigmista63
Inviato: Wednesday, January 27, 2010 9:16:17 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao Francesca.vai in start-risorse del computer con il tasto dx clicca su proprieta'- RIPRISTINO CONFIGURAZIONE DI SISTEMA metti la spunta in DISATTIVA RIPRISTINO DI SISTEMA SU TUTTE LE UNITA',riavvia il pc fai una scansione completa con MALWAREBYTES,se nonrileva nulla,riattiva il ripristino facendo la stessa operazione che hai fatto per disattivare,ma questa volta la spunta la togli dove prima l'hai inserita.
A questo punto vai su start- tutti i programmi-accessori-utilita' di sistema-ripristino configurazione di sistema-crea,cosi' hai ricreato il punto di ripristino in caso di necessita'.
Comunque controlla il tuo software di protezione,se ci sono infezioni e non le rileva evidentemente c'e' qualcosa che non va,deve rilevarli anche se sono nella cartella restore.
francesca64
Inviato: Wednesday, January 27, 2010 9:26:41 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
Ciao enigmista,
sto facendo,dopo aver cancellato i file in quarantena, la scansione con Mb e al momento sembra non trovare nulla.Il norton è aggiornato alla vs.2010 e a parte qualche cookie tracciante non trova nulla.Se non risolvo seguirò il tuo suggerimento.
Ciao, lieta di leggerti.
enigmista63
Inviato: Wednesday, January 27, 2010 9:45:26 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao ti auguro di no,ma se sono nella cartella restore sicuramente al riavvio del pc alla prima scansione malwarebytes li ritrova, se disattivi il ripristino riavvii il pc e rifai la scansione non ci saranno piu',i cookie traccianti sono poca cosa,un antivirus potrebbe anche evitare di segnalare queste bazzecole e segnalare cose piu' pericolose,per i cookie traccianti ti consiglio DISK CLEANER scaricabile dal sito Aiutamici,e' molto pratico,prima di spegnere il pc lo lanci in pochi secondi pulisce il pc oltre che dei file temporanei anche i cookie traccianti cosa che altri programmi di pulizia come CCLEANER .GLARY..............ecc non eliminano.
francesca64
Inviato: Thursday, January 28, 2010 6:40:03 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
R16 sei latitante?
a parte gli scherzi,credo sia tutto ok.
Ho rifatto la scansione oggi con Mb e non c'è nessun elemento malevolo.
Misteri del pc!!!
paolopa
Inviato: Thursday, January 28, 2010 8:11:26 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
nessun mistero credo:in passato hai avuto qualche infezione(che probabilmente hai curato e risolto) che ti ha lasciato il ricordino nei punti di ripristino.cancellandoli hai levato di mezzo il problema.buon tutto!
francesca64
Inviato: Thursday, January 28, 2010 8:27:36 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
paolopa ha scritto:
nessun mistero credo:in passato hai avuto qualche infezione(che probabilmente hai curato e risolto) che ti ha lasciato il ricordino nei punti di ripristino.cancellandoli hai levato di mezzo il problema.buon tutto!


......... e dai Paolo,oggi è tutto talmente alla luce del sole che ogni tanto ......... spero nel mistero!!
Ovviamente scherzo,Francesca
r16
Inviato: Thursday, January 28, 2010 8:38:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
francesca64 ha scritto:
R16 sei latitante?

Non sono intervenuto, perchè le indicazioni che ti hanno dato erano corrette. Applause
Avranno pure loro, diritto ad avere un pò di soddisfazione.Drool
Comunque, non preoccuparti, era solo un'infezione nei punti di ripristino.
Con le loro indicazioni hai eliminato il problema.
Ciao!
francesca64
Inviato: Thursday, January 28, 2010 8:44:52 PM

Rank: AiutAmico

Iscritto dal : 4/2/2009
Posts: 1,367
Ciao r16,
come avrai capito ........ sulla latitanza ....... scherzavo!
I consigli non ho potuto seguirli perchè ho da litigare con un tecnico per questo pc e ......... mi preme conservare i punti di ripristino e altre cronologie.
Ho solo cancellato i file dalla quarantena,creato subito un nuovo punto di ripristino e rifatto la scansione oggi,sembra ok.
Per quanto riguarda gli amici è tutto ok,solo che magari pensavo che HJT potesse evidenziare qualcosa e non sapevo se l'avevi visto.
Tutto ok,grazie a tutti
r16
Inviato: Thursday, January 28, 2010 8:51:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non preoccuparti, per il log di HJT.
Ovviamente, era la prima cosa che avevo controllato.
Tutto a posto.
Ciao!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.