Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Richiesta controllo log di HiJackthis

3 pages: [1] 2 3
Richiesta controllo log di HiJackthis Opzioni
Topic Precedente · Topic Sucessivo
krokko
Inviato: Sunday, July 04, 2010 5:22:06 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ciao a tutti sono nuovo del forum anche se vi seguo già da alcuni giorni e devo dire che siete molto efficienti. Spero possiate dedicarmi qualche minuto a controllare il log di HiJackthis che allego. Lo faccio perchè ho una piccola rete domestica (2 pc da tavolo, un pc portatile un NAS in condivisione ed un router Belkin). Dal portatile mio fratello oggi ha rilevato numerosi tentativi di attacco al suddetto router da parte del mio PC (che nell'ora e minuto "incriminati" era addirittura spento!) addirittura ogni 30 secondi. Ecco il report:

System Log
User Login From 192.168.2.53 => Sun Jul 4 17:25:35 2010


Firewall Log
Sun Jul 4 16:38:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:38:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:38:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:38:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:38:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:39:06 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:39:06 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:39:06 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:39:06 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:39:36 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.
Sun Jul 4 16:40:06 2010
=>Found attack from 192.168.2.18.
Source port is 137 and destination port is 137 which use the UDP protocol.


Tutti e 3 i pc usano Windows 7 come S.O. Come ulteriore informazione devo dire che appena iniziato lo scan Hijackthis ha visualizzato il messaggio che allego:


Eseguendo le istruzioni dell'immagine ottengo questo risultato, (che credo non servi a nulla):
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost



Ecco invece il log di Hijackthis, spero di non avere nulla...:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:04:21, on 04/07/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\Winpopup LAN Messenger\WinPopup.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\maurizio\Documents\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Winpopup LAN Messenger] "C:\Program Files\Winpopup LAN Messenger\WinPopup.exe" RUNALL
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC8A2FEE-5C13-4BBB-956F-8D9543AA2F95}: NameServer = 192.168.2.1
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Guardiano del file system (AVKWCtl) - G Data Software AG - C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Program Files\Common Files\G DATA\GDScan\GDScan.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 5622 bytes
Torna in alto
 
Sponsor
Inviato: Sunday, July 04, 2010 5:22:06 PM

 
Torna in alto
 
paolopa
Inviato: Sunday, July 04, 2010 5:53:49 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'.
Torna in alto
 
krokko
Inviato: Monday, July 05, 2010 9:27:36 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Nel log di Antimalwarebytes (che allego) è stato trovato un unico elemento infetto, che faccio lo elimino?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4279

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05/07/2010 21:24:56
mbam-log-2010-07-05 (21-24-56).txt

Tipo di scansione: Scansione completa (F:\|M:\|)
Elementi esaminati: 216795
Tempo trascorso: 38 minuti, 22 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
F:\WINDOWS\system32\drivers\ndis.sys (Rootkit.Protector) -> No action taken.
Torna in alto
 
krokko
Inviato: Monday, July 05, 2010 9:49:14 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
A maggior supporto ho fatto analizzare il file "incriminato" sul sito virus total e stranamente come da immagine che allego non è stato individuato alcun virus. D'altronde mi sembra di ricordare che l'ndis.sys è un file fondamentale per il S.O. e non si può eliminare, o sbaglio?
Torna in alto
 
r16
Inviato: Monday, July 05, 2010 10:20:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Che cos'è la lettera F: a cui si riferisce, il file trovato da Malwarebytes? (una partizione, o un HD esterno, oppure una chiavetta USB ?)
Torna in alto
 
krokko
Inviato: Tuesday, July 06, 2010 6:03:23 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Allora, io sul mio pc ho montati 3 hard disk INTERNI: Disco F=hard disk con vecchio sistema operativo Windows Xp, che non uso più ma che contiene ancora dati, programmi, cartelle, file, insomma tutto; Disco C= nuovo hard disk sul quale da circa 3 mesi ho installato Windows 7 con programmi reinstallati ex novo (cioè nessuno è richiamato da F); Disco M= hard disk dati sul quale ci sono solo un paio di giochi installati partendo da C. Ora che ci rifletto, ieri ti ho detto una cavolata perchè ho scannerizzato su virustotal il file ndis.sys preso da C e non quello presente in F. Inoltre su F sono presenti due ndis.sys come da immagine allegata. Possibile che il qualche modo 'sto file si attivi da un sistema operativo inerte? Sempre che il problema degli attacchi al router dipenda da questo. Aspetto tue istruzioni su cosa fare adesso, grazie.



IMPORTANTE!! IL FILE NDIS.SYS DEL DISCO F E' SICURAMENTE INFETTO, GUARDA LO SCAN DA VIRUSTOTAL !!
Torna in alto
 
paolopa
Inviato: Tuesday, July 06, 2010 8:23:46 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
hai preso un rootkit...apri malwarebytes ed elimina quell infezione,poi in attesa di r16 fai questa scansione che gli fornira' qualche informazione aggiuntiva:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: dopo aver scaricato COMBOFIX chiudi la connessione disabilita il tuo antivirus e
chiudi TUTTI i programmi aperti,(Firewall compreso) e

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix)
tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse)
e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
Torna in alto
 
krokko
Inviato: Wednesday, July 07, 2010 6:29:05 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ok, eseguirò le attività che mi hai descritto, ma nel frattempo potrei sapere se è questo virus che può aver determinato gli attacchi al router di cui al mio primo post? Lo chiedo perchè mi sembra strano che il file si attivi da un hard disk non di sistema (come ho già detto il mio pc riconosce al boot il disco F che monta windows 7 mentre il virus è sul disco F "inerte" sul quale c'è windows xp che però non viene attivato all'avvio). Mi spieghi 'sta cosa? Grazie
Torna in alto
 
r16
Inviato: Wednesday, July 07, 2010 6:52:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
ma nel frattempo potrei sapere se è questo virus che può aver determinato gli attacchi al router di cui al mio primo post?

Lo vedremo dopo le indicazioni che ti ha postato Paolopa.
Commenta:
Lo chiedo perchè mi sembra strano che il file si attivi da un hard disk non di sistema (come ho già detto il mio pc riconosce al boot il disco F

Se nel tuo pc c'è un file denominato "Autorun.inf" è possibile.

Tale file, collega tutte le periferiche in automatico. (anche quelle "inerti")
Per cui, è possibile. (e può benissimo, averlo messo un virus)
Torna in alto
 
krokko
Inviato: Thursday, July 08, 2010 5:52:54 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ok, ragazzi ho risolto! Era proprio quel maledetto ndis.sys annidato nel vecchio hard disk che muoveva gli attacchi al router della rete domestica. L'ho eliminato con una scansione di Antimalwarebytes come pure ho eliminato l'unico file autorun.inf anch'esso presente nel vecchio hard disk in un programma di editing foto (ProShowgold). Ora non si registrano più attacchi al router, per cui non ho effattuato il passaggio con combofix, che dite lo faccio lo stesso? Grazie comunque del vostro aiuto, seguo sempre anche gli altri post, c'è sempre da imparare....
Torna in alto
 
paolopa
Inviato: Thursday, July 08, 2010 8:35:20 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
io farei ugualmente la scansione con combofix,primaditutto perchè puo' trovare infezioni sfuggite a mbam,poi perchè tra l altro ti da un occh'iata all'mbr,poi perchè r16,se vede qualcosa che non quadra,puo' farti eseguire uno script per pulire tutto adeguatamente.questa è la mia opinione,poi vedi tu.
ps:starei molto attento,se hai usato hd esterni o pendrive prima di riusarli.
Torna in alto
 
krokko
Inviato: Saturday, July 24, 2010 12:05:19 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ho provato a completare l'attività che mi è stata consigliata, anche perchè i tentativi di accesso al router, anche da IP esterni (ho verificato provenire dagli USA e dalla Cina) sono ricominciati come ho spiegato già nel mio primo post. Ho quindi scaricato sul desktop Combofix, ho chiuso tutte le applicazioni, l'antivirus (nel mio caso GData di cui ho disattivato il "Guardiano") e ho lanciato Combofix. Il dubbio che mi è venuto, e di cui volevo chiedere delucidazioni, è che dopo aver effettuato la scansione, durante la quale peraltro mi è stato messo inquarantena il file LVPrclnj01.dll dalla cartella Windows/temp/logishrd (ma credo sia un falso positivo dato che sul sito virustotal non mi viene segnalto nulla di anomalo per questo file), il sistema provvede a ripartire (ricordo che ho Win 7) però a questo punto, essendo ripartito anche l'antivirus mi escono queste richieste di dare o non dare il permesso:

avviso 1: l'editor del registro di sistema (regt.cfxxe) cerca di modificare la configurazione di sistema. Questa registrazione collega una nuova applicazione che viene eseguita all'avvio del sistema.

avviso 2: tentativo di modificare il file host

avviso 3: tentativo di creare un collegamento con processore dei comandi Windows (CF1937.cfxxe)

Nel dubbio ho vietato queste attività, però poi il log di Combofix non è stato generato. Ed inoltre sul Disco C mi è stata creata una cartella Combofix con vari file (allego immagine). Cosa dovrei fare? Mi aiutate? Vorrei anche sapere come disinstallare poi Combofix da Win7. Grazie
Torna in alto
 
krokko
Inviato: Tuesday, July 27, 2010 6:16:04 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Non c'è nessuno che mi aiuta?
Torna in alto
 
bazzurlone
Inviato: Tuesday, July 27, 2010 6:39:09 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Apri documento di testo(4),guarda c'è combofix.txt incolla qui' ,quello è il log di combo.

rimuovi combofix con http://oldtimer.geekstogo.com/OTC.exe

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI

vai in C:\ e se presente elimina la cartella qoobox
Torna in alto
 
krokko
Inviato: Tuesday, July 27, 2010 9:20:20 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
il log di combofix è questo

ComboFix 10-07-23.02 - maurizio 24/07/2010 11:32:37.3.4 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.39.1040.18.3326.2424 [GMT 2:00]
Eseguito da: C:\Users\maurizio\Desktop\ComboFix.exe
.

come ho detto nel post precedente del 24 luglio, avendo ricevuto degli avvisi che
mi hanno lasciato perplesso, non ho dato l'autorizzazione a procedere.
Ora che faccio, rifaccio la scansione? Quando ricevo quegli avvisi devo autorizzare
le modifiche al registro di sistema?
Torna in alto
 
monsee
Inviato: Wednesday, July 28, 2010 12:02:48 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Se non gli consenti di fare il lavoro per il quale lo hai scaricato (lavoro, del resto, per il quale è stato creato) negandogli i permessi necessari, come vuoi che, alla fine, possa risolverti (poco o tanto) il problema? Think
Devi conceder quei permessi che ti vengono richiesti, naturalmente.
Torna in alto
 
krokko
Inviato: Wednesday, July 28, 2010 6:51:30 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
okay, ho effettuato la scansione completa con Combofix ed allego il report generato. Che mi dite, sono a posto? Devo fare altre attività di controllo/pulizia? Attendo ulteriori istruzioni, anche per sapere come disinstallare Combofix. Grazie

ComboFix 10-07-23.02 - maurizio 28/07/2010 18:16:54.4.4 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.39.1040.18.3326.2540 [GMT 2:00]
Eseguito da: c:\users\maurizio\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\TEMP\logishrd\LVPrcInj01.dll
.
---- Esecuzione precedente -------
.
c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
((((((((((((((((((((((((( Files Creati Da 2010-06-28 al 2010-07-28 )))))))))))))))))))))))))))))))))))
.

2010-07-28 16:22 . 2010-07-28 16:24 -------- d-----w- c:\users\maurizio\AppData\Local\temp
2010-07-28 16:22 . 2010-07-28 16:22 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-09 15:56 . 2010-07-09 15:57 -------- d-----w- c:\program files\PokerStars.IT
2010-07-05 18:42 . 2010-07-05 18:42 -------- d-----w- c:\users\maurizio\AppData\Roaming\Malwarebytes
2010-07-05 15:26 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-05 15:25 . 2010-07-05 15:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-05 15:25 . 2010-07-05 15:25 -------- d-----w- c:\programdata\Malwarebytes
2010-07-05 15:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-04 14:58 . 2010-07-04 14:58 388096 ----a-r- c:\users\maurizio\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-06-28 20:36 . 2010-06-28 20:36 -------- d-----w- c:\windows\system32\Wat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-28 16:23 . 2009-12-05 10:30 -------- d-----w- c:\programdata\NVIDIA
2010-07-28 16:23 . 2009-12-28 21:46 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-07-24 07:11 . 2010-04-25 14:03 -------- d-----w- c:\program files\Process xp
2010-07-11 17:34 . 2010-04-25 09:42 -------- d-----w- c:\programdata\Zoom Player
2010-06-28 13:49 . 2009-12-01 15:27 104968 ----a-w- c:\users\maurizio\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-26 14:11 . 2010-06-13 13:37 -------- d-----w- c:\users\maurizio\AppData\Roaming\Skype
2010-06-26 14:01 . 2010-06-13 13:41 -------- d-----w- c:\users\maurizio\AppData\Roaming\skypePM
2010-06-13 13:41 . 2010-06-13 13:41 56 ---ha-w- c:\programdata\ezsidmv.dat
2010-06-13 13:37 . 2010-06-13 13:36 -------- d-----r- c:\program files\Skype
2010-06-13 13:36 . 2010-06-13 13:36 -------- d-----w- c:\program files\Common Files\Skype
2010-06-13 13:36 . 2010-06-13 13:36 -------- d-----w- c:\programdata\Skype
2010-06-11 12:24 . 2009-07-14 08:21 689234 ----a-w- c:\windows\system32\perfh010.dat
2010-06-11 12:24 . 2009-07-14 08:21 124420 ----a-w- c:\windows\system32\perfc010.dat
2010-06-11 12:24 . 2010-06-11 12:23 -------- d-----w- c:\users\maurizio\AppData\Roaming\U3
2010-06-11 12:23 . 2010-06-11 12:23 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-06-11 12:01 . 2010-06-11 12:01 -------- d-----w- c:\program files\Thrustmaster
2010-06-11 12:01 . 2009-12-25 11:36 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-11 12:00 . 2010-06-11 12:00 -------- d-----w- c:\users\maurizio\AppData\Roaming\InstallShield
2010-06-06 06:49 . 2010-05-11 07:50 -------- d-----w- c:\users\maurizio\AppData\Roaming\WindSolutions
2010-06-06 06:49 . 2010-05-11 07:50 -------- d-----w- c:\programdata\WindSolutions
2010-06-03 15:03 . 2010-05-12 16:16 -------- d-----w- c:\users\maurizio\AppData\Roaming\Canon
2010-05-30 07:21 . 2010-05-30 07:21 -------- d-----w- c:\users\maurizio\AppData\Roaming\ScummVM
2010-05-27 07:24 . 2010-06-10 18:32 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-10 18:32 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-12-01 14:02 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-10 18:32 977920 ----a-w- c:\windows\system32\wininet.dll
2010-05-09 09:14 . 2010-06-24 06:43 641536 ----a-w- c:\windows\system32\CPFilters.dll
2010-05-09 09:14 . 2010-06-24 06:43 417792 ----a-w- c:\windows\system32\msdri.dll
2010-05-01 14:49 . 2010-06-10 18:32 2326528 ----a-w- c:\windows\system32\win32k.sys
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GDFirewallTray"="c:\program files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe" [2009-10-21 1124424]
"G DATA AntiVirus Trayapplication"="c:\program files\G Data\InternetSecurity\AVKTray\AVKTray.exe" [2010-01-06 951880]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

R2 gupdate;Servizio di Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-05-02 136176]
R3 GrabsterSeries.X86;GRABSTER SERIES, Service X86;c:\windows\system32\DRIVERS\GrabsterSeries.X86.SYS [2007-11-28 310016]
R3 PAC207;SoC PC-Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]
R3 WatAdminSvc;Servizio Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-28 1343400]
S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [2010-02-14 28616]
S1 gdwfpcd;G DATA WFP CD;c:\windows\system32\DRIVERS\gdwfpcd32.sys [2010-02-14 40904]
S1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2009-12-01 29992]
S2 AVKProxy;G Data AntiVirus Proxy;c:\program files\Common Files\G DATA\AVKProxy\AVKProxy.exe [2009-12-15 1054792]
S2 AVKService;G Data Scheduler;c:\program files\G Data\InternetSecurity\AVK\AVKService.exe [2009-09-07 397896]
S2 AVKWCtl;G Data Guardiano del file system;c:\program files\G Data\InternetSecurity\AVK\AVKWCtl.exe [2009-11-25 1251488]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-04-03 240232]
S3 GDFwSvc;G Data Personal Firewall;c:\program files\G Data\InternetSecurity\Firewall\GDFwSvc.exe [2009-11-25 1547104]
S3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2010-02-14 55624]
S3 GDPkIcpt;GDPkIcpt;c:\windows\system32\drivers\PktIcpt.sys [2010-02-14 47560]
S3 GDScan;G Data Scanner;c:\program files\Common Files\G DATA\GDScan\GDScan.exe [2009-11-26 302152]
S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-12-01 35272]

.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{C4046502-6524-4d87-896C-878F57D1FF07} - c:\program files\PokerStars.IT\PokerStarsUpdate.exe
TCP: {EC8A2FEE-5C13-4BBB-956F-8D9543AA2F95} = 192.168.2.1
FF - ProfilePath - c:\users\maurizio\AppData\Roaming\Mozilla\Firefox\Profiles\r10cqkqs.default\
FF - prefs.js: browser.startup.homepage - www.libero.it
FF - component: c:\program files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\components\AvkWebFilterFF.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-2020141486-3086581876-3591650722-1001\Software\SecuROM\License information*]
"datasecu"=hex:d6,5b,79,24,18,b6,b6,3a,5b,73,5c,3a,da,08,fa,e6,d4,cd,8a,10,9f,
c7,47,2d,45,73,2e,49,80,6e,03,b2,e2,66,99,76,03,47,ea,f0,39,71,4c,46,40,f5,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'Explorer.exe'(5428)
c:\program files\G Data\InternetSecurity\Shredder\Reisswlf.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Logishrd\LQCVFX\COCIManager.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Ora fine scansione: 2010-07-28 18:27:09 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-07-28 16:27

Pre-Run: 42.659.471.360 byte disponibili
Post-Run: 42.655.801.344 byte disponibili

- - End Of File - - 57D76333C7B32DA05D412A3841316232
Torna in alto
 
bazzurlone
Inviato: Wednesday, July 28, 2010 8:06:32 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Ti ho gia' indicato come rimuovere combofix. Inquanto al log hai delle chiavi di registro bloccate e purtroppo solo r16 o shapiro sanno eseguire uno script per eliminarle.
Torna in alto
 
krokko
Inviato: Wednesday, July 28, 2010 9:21:27 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ok, aspetterò l'analisi del log di r16. Ad ogni modo, pensi che le chiavi bloccate debbano rappresentare una minaccia? La SecuRom ad esempio credo che sia la chiave di registro per la protezione di un gioco ufficiale che ho installato un paio di mesi fa, mi sembra Assassin'sCreed 2, se la elimino non rischio poi che il gioco non parta più?
Torna in alto
 
Utenti presenti in questo topic
Guest

3 pages: [1] 2 3

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Richiesta controllo log di HiJackthis


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.