www.MegaLab.it

[inesperto]

Sinceramente vado su dei siti tranquilli oggi l'infezione mi è uscita durante tgcom con comodo che mi diceva di un file sospetto di nome A1.php poi un processo ho visto nel task manager un processo fatto di tanti numeri e basta

[ste_95]

Eh, quell'A.php non credo fosse tanto sicuro, tantomeno il processo formato da una sequenza di numeri... Puoi postare un log di hijackthis?

[inesperto]

ogfile of HijackThis v1.99.1
Scan saved at 23.44.37, on 24/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Documents and Settings\mauro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF444C03-19C3-4A0C-831E-D0BCED8E5BE1}: NameServer = 85.37.17.49 85.38.28.91
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

[ste_95]

Niente, credevo di trovarci qualcosa di indesiderato e invece è pulito.

[inesperto]

Oggi mi sono riuscite di nuovo PER FAVORE fate qualcosa è + di un mese che mi fate fare le stesse cose e si riformano ma mi dite cosa sono e cm si debellano per sempre? comunque ecco il solito log find AWF:

ind AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\PROGRA~1\ANTIVI~1\BAK

11/10/2007 20.38 249.896 avgnt.exe
1 File 249.896 byte
2 Directory 32.963.055.616 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 32.963.055.616 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\PROGRA~1\QUICKT~1\BAK

01/09/2006 15.57 282.624 qttask.exe
1 File 282.624 byte
2 Directory 32.963.051.520 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\WINDOWS\SYSTEM32\BAK

30/08/2004 21.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 32.963.051.520 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\PROGRA~2\D-LINK\DSL-200\BAK

26/11/2004 05.05 16.384 dslagent.exe
26/11/2004 05.05 356.352 dslstat.exe
2 File 372.736 byte
2 Directory 32.963.051.520 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5848-AE1B

Directory di C:\PROGRA~1\FILECO~1\LOGITECH\QCDRIVER\BAK

13/11/2001 14.43 98.304 LVCOMS.EXE
1 File 98.304 byte
2 Directory 32.963.051.520 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

10256 25 Jan 2008 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
249896 11 Oct 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
10256 25 Jan 2008 "C:\Programmi\QuickTime\qttask.exe"
282624 1 Sep 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
10256 25 Jan 2008 "C:\Program Files\D-Link\DSL-200\dslagent.exe"
16384 26 Nov 2004 "C:\Program Files\D-Link\DSL-200\bak\dslagent.exe"
10256 25 Jan 2008 "C:\Program Files\D-Link\DSL-200\dslstat.exe"
356352 26 Nov 2004 "C:\Program Files\D-Link\DSL-200\bak\dslstat.exe"
98304 13 Nov 2001 "C:\WINDOWS\system32\LVComS.exe"
10256 25 Jan 2008 "C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE"
98304 13 Nov 2001 "C:\Programmi\File comuni\Logitech\QCDriver\bak\LVCOMS.EXE"


end of report

[ste_95]

hai aperto qualche sito in particolare? Qualche file?

Questo è lo script per Avenger:

Files to move:
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe | C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\D-Link\DSL-200\bak\dslagent.exe | C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Program Files\D-Link\DSL-200\bak\dslstat.exe | C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Programmi\File comuni\Logitech\QCDriver\bak\LVCOMS.EXE | C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE

[inesperto]

Eccommi alle 20 ho spento ho riaccceso alle 21 ho messo 50 minuti per entrare in internet e fare quello che mi hai detto...
comunque per risp alle tue domande non scarico mai nulla non ho neanche programmi p2p poi stavo su tgcom quando comodo mi dice sempre di quel file e poi mi dice di un processo che si mette nel pc ogni volta da num diversi io voglio capire non c'è prorpio niente per scovarlo ed eliminarlo? comunque ecco il log di avenger:

ogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pwffemof

*******************

Script file located at: \??\C:\Program Files\gobdjthd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe completed successfully.
File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\Program Files\D-Link\DSL-200\bak\dslagent.exe|C:\Program Files\D-Link\DSL-200\dslagent.exe completed successfully.
File move operation C:\Program Files\D-Link\DSL-200\bak\dslstat.exe|C:\Program Files\D-Link\DSL-200\dslstat.exe completed successfully.
File move operation C:\Programmi\File comuni\Logitech\QCDriver\bak\LVCOMS.EXE|C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.

[ste_95]

Nega l'entrata e l'uscita di programmi che non conosci.