non capisco che sta succedendo.... - Sicurezza VIRUS - Aiutamici Forum

Aiutamici Forum

Benvenuto Ospite

Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » non capisco che sta succedendo....

2 pages: [1] 2

non capisco che sta succedendo....

Opzioni

Topic Precedente · Topic Sucessivo

panicgirl

Inviato: Thursday, April 28, 2011 10:20:39 AM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Salve,
ho urgente aiuto per risolvere un problema sul mio pc; scusate se non sarò tanto "tecnica" nel descrivere quello che succede.

Premetto che uso WIndows XP e IE 7,, come antivirus ho NOD32. Ieri pomeriggio è apparsa un paio di volte la schermata del Norton che segnalava la presenza di un virus e l'ho messo in quarantena. Alla successiva scansione del disco, il rapporto non segnalava presenza di alcun virus.

E qui cominciano i problemi: le finestre di IE hanno iniziato a chiudersi da sole, a volte appena aperte, altre volte dopo minuti. ho letto che potevo provare a reimpostare IE tramite il menù proprietà, ma ogni tentativo falliva perchè mi si segnalava la presenza di programmi in esecuzione.

A questo punto ho provato a vedere tramite msconfig se ci fosse qualche programma strano, ma la finestra si chiude automaticamente dopo pochi secondi, mostrandomi una finestra in cui mi chiede se riavviare il PC per rendere effettivi gli aggiornamenti effettuati (ho risposto sempre di non riavviare).

Le finestre di IE a questo punto hanno mostrato un altra stranezza: una volta aperte, dopo pochi secondi perdono il focus; un paio di volte la finestra si è da sola collegata a questo indirizzo: C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\WHKLW7YO\dl[1].htm

Inoltre, sul desktop, proprio sopra l'icona START compaiono dei rettangoli azzurri con scritte tipo "Realtek HD Audio Manual", "IDE....", ecc....

Che posso fare?

Grazie a chi mi risponderà.

Sponsor

Inviato: Thursday, April 28, 2011 10:20:39 AM

cbbusto

Inviato: Thursday, April 28, 2011 10:43:33 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964

Intanto un saluto e benvenuta nel forum.
Potrebbe trattarsi di qualche infezione, fai una scansione con HJT, lo trovi QUI, se non sai come fare leggi la scheda, posta il log che viene rilasciato così
lo esaminiamo.
Ciao

panicgirl

Inviato: Thursday, April 28, 2011 11:14:11 AM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Avevo premesso che sono poco esperta....nel link ci sono 3 file da scaricare: devo scaricarli tutti e tre?
Grazie

cbbusto

Inviato: Thursday, April 28, 2011 11:22:09 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964

panicgirl ha scritto:

Avevo premesso che sono poco esperta....nel link ci sono 3 file da scaricare: devo scaricarli tutti e tre?
Grazie

Devi scegliere la prima voce: WIN. EXE 32. BIT

panicgirl

Inviato: Thursday, April 28, 2011 11:25:10 AM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Fatto.
Ecco il log

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.22.39, on 28/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenUpdate.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Java\jre6\bin\jucheck.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\PC\Documenti\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Browser Helper Object - {AFD4AD01-58C1-47DB-A404-FBE00A6C5486} - C:\Programmi\Shared\lib.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ASUS Update Checker] C:\Programmi\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S4D0.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
O4 - HKLM\..\Run: [UpdateReminder] C:\Programmi\Eset\UpdateReminder.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Compila - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Compila Modulo - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Salva - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Salva Moduli - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra strumenti - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programmi\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1263850482031
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O18 - Filter hijack: text/html - {7ad3ee1c-30f0-41c9-a983-e5a925bef8c7} - C:\DOCUME~1\PC\IMPOST~1\Temp\mstmp.
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programmi\File comuni\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nielsen Update (NielsenUpdate) - The Nielsen Company - C:\Programmi\NetRatingsNetSight\NetSight\NielsenUpdate.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 10759 bytes

cbbusto

Inviato: Thursday, April 28, 2011 12:22:11 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964

Fai queste operazioni:
chiudi tutti i programmi e disconnessa da internet fixa ed elimina le seguenti voci, per fixare leggi la scheda del programma:

C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe

C:\Programmi\NetRatingsNetSight\NetSight\NielsenUpdate.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe

O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)

O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

O23 - Service: Nielsen Update (NielsenUpdate) - The Nielsen Company - C:\Programmi\NetRatingsNetSight\NetSight\NielsenUpdate.exe

Poi scarica QUESTO programma, lo installi, lo devi
aggiornare e poi fai una scansione COMPLETA, non veloce, elimina tutto quello che trova, posta il log.
Fai una pulizia con Ccleaner compreso il Registro, lo trovi QUI.
Poi vai in C:\windows, cerca la cartella Prefetch, la apri ed elimina tutto il contenuto, non eliminare la cartella.
Fai sapere come va il pc.
Ciao

panicgirl

Inviato: Thursday, April 28, 2011 3:31:27 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Ho seguito le tue indicazioni.

Questo è il log

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6462

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/04/2011 15.12.14
mbam-log-2011-04-28 (15-11-50).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 238215
Tempo trascorso: 1 ore, 11 minuti, 16 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 3
Voci infette nei dati di registro: 6
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sisalpoker_real (PUP.Casino) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\programmi\Shared\lib.dll (Trojan.BHO) -> No action taken.
c:\Poker\sisal poker\_setuppoker_7247.exe (PUP.Casino) -> No action taken.
c:\programmi\Shared\lib.sig (Adware.Deepdive) -> No action taken.

Per il momento pare che tutto funzioni; in caso di ulteriori problemi mi farò viva, non temete! Whistle

Whistle

Voglio ringraziare tantissimo cbbusto e tutta la redazione di aiutamici: le guide all'uso dei programmi sono talmente dettagliate che anche un bambino può seguirle! Applause

Applause

Grazie di nuovo!!!!

panicgirl

Inviato: Thursday, April 28, 2011 4:05:27 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Come non detto....non è tutto a posto!

Per il momento è tornato il problema del focus che si perde sulle finestre di IE. Ed è successo subito dopo che s'è aperta una pagina non richiesta di quelle tipo "Iscriviti e avrai fortuna" o similari che ho, ovviamente, subito chiusa!

Eppure sono solo entrata in hotmail e su ebay (oltre che qui sul forum).

Ipotesi?

tamagon

Inviato: Thursday, April 28, 2011 4:59:10 PM

Rank: AiutAmico

Iscritto dal : 3/6/2009
Posts: 2,913

devi eliminarlo quello che ha trovato malwarebytes

panicgirl

Inviato: Thursday, April 28, 2011 6:37:39 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

L'ho eliminato, così come diceva anche cbbusto.

Ho seguito alla lettera le sue indicazioni.

r16

Inviato: Thursday, April 28, 2011 6:49:35 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su Start\ Esegui\ nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log

panicgirl

Inviato: Thursday, April 28, 2011 6:58:21 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Ti risulta che devo chiudere l'antivirus? Me lo richiede....

panicgirl

Inviato: Thursday, April 28, 2011 7:10:08 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Ecco il log

ComboFix 11-04-27.04 - PC 28/04/2011 19.02.26.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.659 [GMT 2:00]
Eseguito da: c:\documents and settings\PC\desktop\abc.exe
Opzioni usate :: /killall
AV: Sistema Antivirus NOD32 2.70 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active
.
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dati applicazioni\PTC4qfsW.exe
c:\documents and settings\PC\Preferiti\Videos.url
c:\programmi\Shared
c:\windows\Tasks\At1.job
c:\windows\Tasks\At12.job
D:\khq
.
.
((((((((((((((((((((((((( Files Creati Da 2011-03-28 al 2011-04-28 )))))))))))))))))))))))))))))))))))
.
.
2011-04-28 13:16 . 2011-04-28 13:16 -------- d-----w- c:\programmi\CCleaner
2011-04-28 11:54 . 2011-04-28 11:54 -------- d-----w- c:\documents and settings\PC\Dati applicazioni\Malwarebytes
2011-04-28 11:54 . 2011-04-28 11:54 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-04-28 11:54 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 11:54 . 2011-04-28 11:54 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-04-28 11:54 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-27 21:00 . 2011-04-27 21:00 -------- d-----r- c:\documents and settings\NetworkService\Preferiti
2011-04-12 18:40 . 2011-04-16 19:26 -------- d-----w- c:\documents and settings\PC\Impostazioni locali\Dati applicazioni\WMTools Downloaded Files
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-18 39408]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"RoboForm"="c:\programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2010-01-18 139322]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"VirtualCloneDrive"="c:\programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]
"ASUS Update Checker"="c:\programmi\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe" [2008-12-11 114688]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2010-01-18 949376]
"UpdateReminder"="c:\programmi\Eset\UpdateReminder.exe" [2010-11-03 413696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programmi\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [05/03/2010 13.47.12 15360]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [18/01/2010 21.07.48 15424]
R2 NielsenUpdate;Nielsen Update;c:\programmi\NetRatingsNetSight\NetSight\NielsenUpdate.exe [14/04/2011 8.33.33 303936]
R2 Start BT in service;Start BT in service;c:\programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [27/12/2007 15.39.20 51816]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14.34.30 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14.34.40 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14.34.52 566296]
R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [05/03/2010 13.47.11 10368]
S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [18/01/2010 13.13.00 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [18/01/2010 19.54.52 1684736]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14.34.30 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programmi\File comuni\Creative Labs Shared\Service\CTAELicensing.exe [18/01/2010 13.36.28 79360]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14.34.40 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14.35.04 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14.35.04 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14.34.52 566296]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [18/01/2010 13.13.00 133104]
S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-04-28 c:\windows\Tasks\Google Software Updater.job
- c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-18 11:10]
.
2011-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-01-18 11:12]
.
2011-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-01-18 11:12]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{C4046502-6524-4d87-896C-878F57D1FF07} - c:\programmi\PokerStars.IT\PokerStarsUpdate.exe
LSP: c:\windows\system32\imon.dll
Trusted Zone: ebay.it\signin
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKLM-Run-nwiz - nwiz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-28 19:07
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\imon.dll
c:\programmi\Eset\pr_imon.dll
.
- - - - - - - > 'explorer.exe'(2676)
c:\windows\system32\WININET.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programmi\Creative\Shared Files\CTAudSvc.exe
c:\windows\RTHDCPL.EXE
c:\programmi\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\programmi\Eset\nod32krn.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2011-04-28 19:08:52 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2011-04-28 17:08
.
Pre-Run: 38.403.493.888 byte disponibili
Post-Run: 38.376.972.288 byte disponibili
.
- - End Of File - - 848E814B3D577D112376F547076AD2D3

r16

Inviato: Thursday, April 28, 2011 7:24:18 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

C'è qualcosa che non mi quadra, ma vorrei sapere se riscontri ancora problemi.

P.S:
Ma che cos'è questo NielsenUpdate ?
Lo conosci?

panicgirl

Inviato: Thursday, April 28, 2011 7:37:07 PM

Rank: AiutAmico

Iscritto dal : 4/28/2011
Posts: 55

Nielsen è un'azienda di rilevazioni statistiche cui mio marito è iscritto da anni. Assolutamente sicuro e collaudato.

Cmq, ora sto provando a navigare un po' in giro usando IE (con Chrome non ho problemi) e per il momento ancora non ho avuto problemi.

Vi terrò aggiornati. Grazie.

cbbusto

Inviato: Thursday, April 28, 2011 9:58:35 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964

Ciao, sono rientrato ora, grazie anche all'intervento di r16, che ti ricordo è il ns esperto in questo settore,
spero che i tuoi problemi siano definitivamente risolti, io avrei una mia idea, eliminerei I.E. 7 e passerei a I.E. 8 che giudico migliore e potrebbe avere meno problemi, prendilo come un suggerimento.
Un saluto. Speak to the hand

Speak to the hand

Speak to the hand

Edit, a me piace poco il sito PokerStars.it, come saprai in America ha avuto qualche controversia ?????

r16

Inviato: Thursday, April 28, 2011 10:23:47 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

@cbbusto :
Compitino della sera:
Se il marito, trova difficoltà ad usare questo Nielsen,dovrai ripristinare il servizio che hai indicato di eliminare.
Non serve ripristinare il programma all'avvio.

Commenta:

a me piace poco il sito PokerStars.it, come saprai in America ha avuto qualche controversia ?????

Lo hanno già riaperto.
Forse non sai, che ci sono 5 milioni di italiani, che ne fanno uso. (e che a loro piace)

Notte... Whistle

Whistle

cbbusto

Inviato: Thursday, April 28, 2011 11:43:03 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964

r16 ha scritto:

@cbbusto :
Compitino della sera:
Se il marito, trova difficoltà ad usare questo Nielsen,dovrai ripristinare il servizio che hai indicato di eliminare.
Non serve ripristinare il programma all'avvio.

Commenta:

a me piace poco il sito PokerStars.it, come saprai in America ha avuto qualche controversia ?????

Lo hanno già riaperto.
Forse non sai, che ci sono 5 milioni di italiani, che ne fanno uso. (e che a loro piace)

Notte... Whistle

Whistle

Riguardo al programma non vedo nessun danno, i file sono ripristinabili o si può reinstallare il programma.
Per il poker, se le persone si divertono a farsi spennare, affari loro, guarda quanti si rovinano con i videopoker
nei bar o salegioco, sta diventando una piaga sociale.
Notte anche a te. Speak to the hand

Speak to the hand

Speak to the hand

thorr

Inviato: Thursday, April 28, 2011 11:44:45 PM

Rank: AiutAmico

Iscritto dal : 12/17/2010
Posts: 309

Utenti presenti in questo topic

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » non capisco che sta succedendo....

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS :

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded