www.MegaLab.it

[TheGallant]

Buongiorno a tutti, è la prima volta che scrivo.

Vi espongo la mia situazione. ho windows 7 32 bit service pack 1.

capita periodicamente che da quando ho disinstallato il windows media center, dato che VLC mi basta e avanza, quando uso internet explorer (non capita mai con Firefox) al primo accesso ad un sito qualunque si apra la UAC di windows installer; se è fraudolenta, è copiata molto bene, è specificato il publisher e tutto il resto, mi da pure la stringa completa "windows/system32/msiexec.exe" , cosa che sapevo non c'era nella UAC del trojan che sfrutta la somiglianza con quel file.

devo specificare che il pc era reduce da un'infezione piuttosto chiara e "visibile" (reindirizzamenti frequenti, Avira non aggiornava i file vdf e centro sicurezza disabilitato, ed ero ANCORA CON W. XP). L'ho portato in assistenza dove però il problema è stato affrontato evidentemente con imprecisione, dato che due giorni dopo la riconsegna ha cominciato a ripetersi tutto il fenomeno. un conoscente piuttosto esperto mi ha spiegato che secondo lui non erano stati in grado di capire nemmeno con cosa avessero a che fare; la cosa è stata confermata dal fatto che quando ho spiegato al tecnico che "il centro sicurezza risulta disabilitato" e mostrato la finestra bianca dove invece sarebbero dovuti esserci i vari menù interattivi mi è stato risposto dal tecnico "ma non vedo nulla di strano!"

dopo aver cancellato dalla rubrica il numero di quel centro di non-assistenza, l'amico ha provveduto a formattare tutto e stavolta ho aggiornato windows xp all'attuale sistema che ho descritto nella prima riga.
ed ora mi trovo nella situazione che ho descritto, nessun avviso di msiexec.exe prima di disabilitare windows media center, dopo invece sì, ma non a tutti gli accessi, solo ogni qualche giorno. Avira, emergency kit, malwarebytes non trovano nulla.
Ho cominciato a pensare che in qualche modo il malware avesse resistito alla formattazione, ma è strano che si sia rifatto vivo solo dopo essermi sbarazzato di windows media center...

cosa pensate a riguardo?

grazie!!

[TheGallant]

aggiungo: non vedo altri segni sospetti, nessun reindirizzamento di firefox, ma nemmeno di i.e. dopo che clicco "non consentire" sulla UAC sospetta. i file vdf di avira si aggiornano e gli altri software di protezione non mi danno problemi. gli aggiornamenti di 7 proseguono senza intoppi. nessuna lentezza del pc che mi faccia pensare male.

grazie ancora!

[crazy.cat]

La posizione del file windows/system32/msiexec.exe è giusta, sembra piuttosto che cerchi di installare qualche componente aggiuntiva per internet (anche se è abbastanza strano come comportamento.
Prova a vedere nel visualizzatore eventi se trovi qualche errore che spieghi cosa sta tentando di fare.
Fai analizzare anche il file msiexec.exe sul sito www.virustotal.com per vedere se è infetto.

Posta anche un log della scansione di hijackthis per vedere se troviamo qualcosa di strano.

[TheGallant]

che rapidità!!grazie!

Comunque sì, in effetti è un comportamento quasi "ibrido"..

ho provato a scaricare hijackthis da http://www.hijackthis.de/it cliccando su "download diretto" ma Avira blocca la pagina per Url potenzialmente dannosa... URL richiesto: http://free.antivirus.com/us/
Categoria/e: URL di phishing

è un indirizzo pericoloso? hai un link diverso da dove io lo possa prendere?
come accedo al visualizzatore eventi? scusa ma sono un po' ignorante! :)

[TheGallant]

Virustotal da queste informazioni:

SHA256: 78617ddf9a0067a32cb5d87a796c93a9618ac006ccdcb3c7c824fdeb6ec5fd59
File name: msiexec.exe
Detection ratio: 0 / 42
Analysis date: 2012-07-17 08:49:09 UTC ( 0 minuti ago )

(e in fondo alla pagina scrive "goodware")

[hashcat]

Virustotal da queste informazioni:

SHA256: 78617ddf9a0067a32cb5d87a796c93a9618ac006ccdcb3c7c824fdeb6ec5fd59
File name: msiexec.exe
Detection ratio: 0 / 42
Analysis date: 2012-07-17 08:49:09 UTC ( 0 minuti ago )

(e in fondo alla pagina scrive "goodware")

Il file è sicuro

[TheGallant]

ok, quindi la ragione delle apparizioni della UAC rimane un mistero? :)
spero sia possibile venirne a capo...

un'altra cosa, come ho menzionato, la pagina alla quale si accede con "download diretto" dal sito di hijackthis che ho scritto sopra viene bloccata da avira e segnalata come phishing. succede anche a voi? o solo a me??ancora non ho scaricato hijackthis per questo motivo...

[crazy.cat]

Prova con questo
http://www.trendmicro.com/ftp/products/ ... ckThis.msi

[hashcat]

Utilizza DDS, al termine della scansione verranno generati due log, postali entrambi.

[TheGallant]

Ciao a tutti, ecco un log di DDS:

DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.7601.17514 BrowserJavaVersion: 10.5.1
Run by Andrea at 11:11:18 on 2012-07-18
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.39.1040.18.2013.968 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\ANIWConnService.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\DWL-G122_DWA-110\AirGCFG.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_265.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_265.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.it/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~2\spybot~1\SDHelper.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~2\micros~2\office14\GROOVEEX.DLL
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\oracle\javafx 2.1 runtime\bin\ssv.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~2\micros~2\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\oracle\javafx 2.1 runtime\bin\jp2ssv.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [Skype] "c:\program files\skype\phone\Skype.exe" /minimized /regrun
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
mRun: [ANIWZCS2Service] c:\program files\ani\aniwzcs2 service\WZCSLDR2.exe
mRun: [D-Link D-Link Wireless G DWL-G122_DWA-110] c:\program files\d-link\dwl-g122_dwa-110\AirGCFG.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [BCSSync] "c:\program files\microsoft office\office14\BCSSync.exe" /DelayServices
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: E&sporta in Microsoft Excel - c:\progra~2\micros~2\office14\EXCEL.EXE/3000
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~2\spybot~1\SDHelper.dll
LSP: c:\program files\avira\antivir desktop\avsda.dll
TCP: DhcpNameServer = 192.168.1.254
TCP: Interfaces\{06430025-9094-43DB-A1B8-B00A20ACDF42} : DhcpNameServer = 192.168.1.254
TCP: Interfaces\{B8242FEA-3096-4B9A-9FFA-54B16288BC37} : DhcpNameServer = 192.168.1.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~2\common~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\progra~2\micros~2\office14\GROOVEEX.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\andrea\appdata\roaming\mozilla\firefox\profiles\dkflo20o.default\
FF - prefs.js: browser.startup.homepage - http://www.google.it
FF - plugin: c:\progra~2\micros~2\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~2\micros~2\office14\NPSPWRAP.DLL
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\microsoft silverlight\5.1.10411.0\npctrlui.dll
FF - plugin: c:\program files\oracle\javafx 2.1 runtime\bin\plugin2\npjp2.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_3_300_265.dll
FF - plugin: c:\windows\system32\npDeployJava1.dll
FF - plugin: c:\windows\system32\npmproxy.dll
.
============= SERVICES / DRIVERS ===============
.
R1 anodlwf;ANOD Network Security Filter driver;c:\windows\system32\drivers\anodlwf.sys [2012-3-26 12800]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-3-26 36000]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 ANIWConnService;ANIWConn Service;c:\windows\system32\ANIWConnService.exe [2012-3-26 151552]
R2 AntiVirMailService;Avira Mail Protection;c:\program files\avira\antivir desktop\avmailc.exe [2012-3-26 342480]
R2 AntiVirSchedulerService;Avira Scheduler;c:\program files\avira\antivir desktop\sched.exe [2012-3-26 86224]
R2 AntiVirService;Avira Realtime Protection;c:\program files\avira\antivir desktop\avguard.exe [2012-3-26 110032]
R2 AntiVirWebService;Avira Web Protection;c:\program files\avira\antivir desktop\avwebgrd.exe [2012-3-26 463824]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-3-26 74640]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2012-4-21 1153368]
R3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-6-10 394856]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-7-3 160944]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-29 250056]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\microsoft office\office14\GROOVE.EXE [2011-6-12 31125880]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-5-10 113120]
S3 netr28u;D-Link dnetr28u USB Extensible Wireless LAN Card Driver;c:\windows\system32\drivers\Dnetr28u.sys [2012-3-26 750592]
S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-3-26 15872]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2012-3-26 52224]
.
=============== Created Last 30 ================
.
2012-07-17 08:32:53 6891424 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{66fd6d65-cbd0-4707-a6e6-be5d87d55171}\mpengine.dll
2012-07-16 12:40:03 421200 ----a-w- c:\program files\mozilla firefox\msvcp100.dll
2012-07-16 12:40:02 770384 ----a-w- c:\program files\mozilla firefox\msvcr100.dll
2012-07-12 11:51:34 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-12 11:51:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-11 17:58:55 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-07-11 17:49:56 369336 ----a-w- c:\windows\system32\drivers\cng.sys
2012-07-11 17:49:56 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-07-11 17:49:55 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-07-11 17:49:55 225280 ----a-w- c:\windows\system32\schannel.dll
2012-07-11 17:49:55 219136 ----a-w- c:\windows\system32\ncrypt.dll
2012-07-11 17:49:47 1019904 ----a-w- c:\program files\common files\system\ado\msado15.dll
2012-07-11 17:49:46 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-07-11 17:49:45 352256 ----a-w- c:\program files\common files\system\ado\msadomd.dll
2012-07-11 17:49:44 57344 ----a-w- c:\program files\common files\system\ado\msador15.dll
2012-07-11 17:49:44 212992 ----a-w- c:\program files\common files\system\msadc\msadco.dll
2012-07-11 17:49:43 372736 ----a-w- c:\program files\common files\system\ado\msadox.dll
2012-07-11 17:49:43 143360 ----a-w- c:\program files\common files\system\ado\msjro.dll
2012-07-11 17:48:45 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-07-11 17:48:43 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-07-11 17:48:42 2048 ----a-w- c:\windows\system32\msxml3r.dll
2012-06-30 08:12:46 -------- d-----w- c:\program files\Oracle
2012-06-23 09:06:00 -------- d-----w- c:\users\andrea\appdata\local\Macromedia
2012-06-19 10:04:54 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-19 10:04:28 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-19 10:04:18 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-19 10:04:18 171904 ----a-w- c:\windows\system32\wuwebv.dll
.
==================== Find3M ====================
.
2012-07-16 14:48:06 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-16 14:48:06 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-31 10:25:14 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-05-15 03:03:54 981504 ----a-w- c:\windows\system32\wininet.dll
2012-05-04 17:29:22 772504 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-05-04 17:29:16 687504 ----a-w- c:\windows\system32\deployJava1.dll
2012-05-04 09:59:54 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-05-01 04:44:12 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-04-28 04:41:44 919040 ----a-w- c:\windows\system32\rdpcorets.dll
2012-04-28 03:17:07 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-04-26 04:45:55 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-04-26 04:45:54 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-04-26 04:41:16 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-04-24 04:36:42 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-04-24 04:36:42 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-04-24 04:36:42 103936 ----a-w- c:\windows\system32\cryptnet.dll
2012-04-20 03:16:44 1638912 ----a-w- c:\windows\system32\mshtml.tlb
.
============= FINISH: 11:12:41,02 ===============




Ecco l'altro:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Ultimate
Boot Device: \Device\HarddiskVolume1
Install Date: 25/03/2012 21:37:11
System Uptime: 18/07/2012 11:04:00 (0 hours ago)
.
Motherboard: ASUSTeK Computer INC. | | P5G41-M LX
Processor: Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz | LGA775 | 2003/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 149 GiB total, 119,943 GiB free.
D: is CDROM (CDFS)
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: A2 Direct Disk Access Support Driver
Device ID: ROOT\LEGACY_A2DDA\0000
Manufacturer:
Name: A2 Direct Disk Access Support Driver
PNP Device ID: ROOT\LEGACY_A2DDA\0000
Service: A2DDA
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.3) - Italiano
ANIWZCS2 Service
Avira Antivirus Premium 2012
CCleaner
D-Link Wireless G DWL-G122_DWA-110
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
Java Auto Updater
Java(TM) 7 Update 5
JavaFX 2.1.1
Malwarebytes Anti-Malware versione 1.62.0.1300
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Extended
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (Italian) 2010
Microsoft Office Excel MUI (Italian) 2010
Microsoft Office Groove MUI (Italian) 2010
Microsoft Office InfoPath MUI (Italian) 2010
Microsoft Office OneNote MUI (Italian) 2010
Microsoft Office Outlook MUI (Italian) 2010
Microsoft Office PowerPoint MUI (Italian) 2010
Microsoft Office Professional Plus 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (Italian) 2010
Microsoft Office Publisher MUI (Italian) 2010
Microsoft Office Shared MUI (Italian) 2010
Microsoft Office Word MUI (Italian) 2010
Microsoft Silverlight
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Mozilla Firefox 13.0.1 (x86 it)
Mozilla Maintenance Service
Revo Uninstaller 1.93
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Security Update for Microsoft Excel 2010 (KB2597166) 32-Bit Edition
Security Update for Microsoft InfoPath 2010 (KB2553322) 32-Bit Edition
Security Update for Microsoft InfoPath 2010 (KB2553431) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553091)
Security Update for Microsoft Office 2010 (KB2553096)
Security Update for Microsoft Office 2010 (KB2553371) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553447) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2589320) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2598039) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2598243) 32-Bit Edition
Security Update for Microsoft PowerPoint 2010 (KB2553185) 32-Bit Edition
Security Update for Microsoft SharePoint Workspace 2010 (KB2566445)
Security Update for Microsoft Visio Viewer 2010 (KB2597981) 32-Bit Edition
Sid Meier's Alpha Centauri
Skype Click to Call
Skype™ 5.10
Spybot - Search & Destroy
SpywareBlaster 4.6
Tachyon
Unlocker 1.9.1
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
Update for Microsoft Office 2010 (KB2553092)
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition
Update for Microsoft Office 2010 (KB2597091) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2589345) 32-Bit Edition
VLC media player 2.0.1
.
==== End Of File ===========================

[TheGallant]

Il link di trendmicro per hijackthis mi da questa pagina:

"<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="refresh" content="1;url=http://free.antivirus.com/us/">
<title></title>
</head>
<body>
<p>If you are not redirected soon, please click <a href="http://free.antivirus.com/us/">here</a>.</p>
</body>
</html> "

e non mi ridirige affatto. da notare che indica che devo accedere allo stesso indirizzo che avira blocca come phishing...

[hashcat]

I log di DDS non evidenziano particolari anomalie.

Gli unici consigli che mi vengono in mente sono:

1. Disinstalla Spybot Search & Destroy (programma vecchio e pressoché inutile).
2. Disabilita Windows Defender (possiedi Avira Premium)
3. Aggiorna Internet Explorer alla versione 9
4. Fai pulizia dei file temporanei con Bleachbit oppure utilizzando CCleaner con CCEnhancer
5. Installa Spyware Blaster.

Vedi se così il problema è risolto, altrimenti è necessario sapere con quale parametro viene eseguito msiexec.exe (qualcosa del tipo msiexec /x).

[TheGallant]

grazie delle risposte!

ho già spyware blaster.

spybot inutile?quando ancora avevo XP era l'unico che segnalava che il centro sicurezza era disabilitato in una scansione, avira, malwarebytes e emergency kit avevano bellamente ignorato la cosa...

Bleachbit è più efficace di CCleaner? occorre essere utenti esperti per utilizzarlo? non sarebbe il mio caso ;)

dove trovo informazioni su CCEnhancer? quali sono le differenze con Ccleaner?

[hashcat]

spybot inutile?quando ancora avevo XP era l'unico che segnalava che il centro sicurezza era disabilitato in una scansione, avira, malwarebytes e emergency kit avevano bellamente ignorato la cosa...

Malwarebytes segnala il problema da molte versioni fa (se ricordo correttamente), comunque Spybot, come ad esempio Ad-Aware, poteva essere considerato un ottimo prodotto molti anni fa, adesso la protezione che fornisce (attiva e passiva) nei confronti delle minacce attuali è pressoché nulla.

Bleachbit è più efficace di CCleaner? occorre essere utenti esperti per utilizzarlo? non sarebbe il mio caso ;)

E' uno strumento (gratuito) alternativo, che può essere usato assieme a CCleaner (non necessita di essere esperti).

dove trovo informazioni su CCEnhancer? quali sono le differenze con Ccleaner?

Le informazioni le puoi trovare QUI; CCEnhancer è un programma che si integra in CCleaner e si occupa di effettuare una pulizia più accurata e completa rispetto a quest'ultimo.

P.S.: Risolto il problema?

[TheGallant]

su spybot riporto semplicemente quello che era successo, Malwarebytes e gli altri programmi non avevano segnalato la cosa! :)
quindi dite che pure Emergency kit ormai è roba vecchia?

ora scarico CCEnhancer, e provo ad utilizzarlo, sperando di non fare danni...

comunque la simpatica UAC è ricomparsa giusto oggi, con un intervallo relativamente stabile di 7/8 giorni tra un'apparizione e l'altra! :)

spero dopo aver utilizzato CCEnhancer di risolvere il problema.
vi tengo aggiornati e grazie ancora

[hashcat]

quindi dite che pure Emergency kit ormai è roba vecchia?

A mio parere è uno dei migliori scanner gratuiti on-demand.

vi tengo aggiornati e grazie ancora

[TheGallant]

ok, ma da questo indirizzo http://singularlabs.com/software/ccenhancer/ quando po clicco su download in alto a destra, e seleziono la versione solo inglese avira mi blocca la pagina come malware...ecco la pagina bloccata "http://download.thewebatom.net/500e456e06490/CCEnhancer-3.5.exe"; è un falso positivo?

se invece seleziono l'opzione multilingua, se non sbaglio mi fa scaricare cosa aggiuntive che francamente non mi servono e non vorrei scaricare (ho letto che CCenhancer non è un plug-in ufficiale)... mi potete dare un link "pulito"? grazie..

[hashcat]

Il link fornito é assolutamente pulito (preso dal sito ufficiale), quindi la segnalazione si tratta di un falso positivo di Avira.
Puoi scaricarlo alternativamente da [url=majorgeeks.com/CCEnhancer_d6547.html]QUI[/url]