MegaLab.it

salve,
ho da qualche ora un problema con centro sicurezza pc e antivirus xp 2010. mi bloca la navigazione e lo posso solo eliminare ma per qualche minuto dal task manager. poi mi butta fuori dalla pagina in cui sono. ho provato a ripristinare il sistema al giorno prima dell'installazione di ie 8.
può essere questo il problema? datemi una mano come sempre.
grazie anticipatamente.

mio antivirus Symantec Endpoint Protection

Scarica malwarebytes e fagli fare una scansione completa del pc.

oltre a quello che ti ha detto crazy.cat prova a fare una scansione con un altro antivirus magari avast, avira le versioni free, io quell'antivirus non lo conosco.
ho guardato poco fa, il tuo antivirus fa parte della familia symantec quindi in teoria dovrebbe essere buono.

ecco il risultato della scansione con malwarebytes.
ora che faccio.
ps l'antivirus è un antivirus eccezzionale per quello che so.

aiutatemiper piacere
Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/03/2010 15.56.04
mbam-log-2010-03-14 (15-55-56).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 184763
Tempo trascorso: 34 minute(s), 22 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 3
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32x (Rootkit.Agent) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\Documents and Settings\All Users\Dati applicazioni\10445784 (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\3966460126 (Rogue.SecurityTool) -> No action taken.

File infetti:
C:\WINDOWS\system32\config\33395236.Evt (Rootkit.Agent.H) -> No action taken.
C:\Programmi\Native Instruments\Traktor DJ Studio 2\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\10445784.glu (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\pc10445784cnf (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\pc10445784ins (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\3966460126\3966460126.cfg (Rogue.SecurityTool) -> No action taken.
C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\H8SRTmyyxcpuylj.dat (Rootkit.TDSS) -> No action taken.

harry71 ha scritto:ecco il risultato della scansione con malwarebytes.

Quale? Dove?

scusa ma l'ansia ha preso il sopravvento
Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/03/2010 15.56.04
mbam-log-2010-03-14 (15-55-56).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 184763
Tempo trascorso: 34 minute(s), 22 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 3
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32x (Rootkit.Agent) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\Documents and Settings\All Users\Dati applicazioni\10445784 (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\3966460126 (Rogue.SecurityTool) -> No action taken.

File infetti:
C:\WINDOWS\system32\config\33395236.Evt (Rootkit.Agent.H) -> No action taken.
C:\Programmi\Native Instruments\Traktor DJ Studio 2\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\10445784.glu (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\pc10445784cnf (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\10445784\pc10445784ins (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\3966460126\3966460126.cfg (Rogue.SecurityTool) -> No action taken.
C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
C:\Documents and Settings\uno\Dati applicazioni\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\H8SRTmyyxcpuylj.dat (Rootkit.TDSS) -> No action taken.

scusa se l'ho riscritto
scsuate..

Elimina ciò che è stato trovato...e esegui il riavvio del pc.

fatto e riavviato il pc, ma dinuovo con queste finestre e simulazione di ricerca virus.
cavolo...pensavo meglio..

harry71 ha scritto:fatto e riavviato il pc, ma dinuovo con queste finestre e simulazione di ricerca virus.
cavolo...pensavo meglio..

Il programma onestamente non l'ho mai sentito. Ti consiglio di eliminarlo dal pc. Al limite usa un antivirus free. Avast o Avira che, perlomeno, sono conosciuti...

gioia271965 ha scritto:Elimina ciò che è stato trovato...e esegui il riavvio del pc.

Quasi.
L'unica voce forse sbagliata è questa C:\Programmi\Native Instruments\Traktor DJ Studio 2\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
Fai controllare il file sul sito http://www.virustotal.com e vedi cosa ti dicono.

Però intanto rimuovi tutto il resto che è molto più pericoloso, c'è un rootkit, fai girare prima di tutto questo programma http://support.kaspersky.com/downloads/ ... killer.zip al riavvio del pc poi rifai la scansione con malwarebytes e alla fine premi il pulsante in basso a sinistra per ripulire il resto.

Se hai attivi i punti di ripristino disattivali prima di procedere.

Devi prima ammazzare il rootkit, magari quando fai la scansione chiudi il collegamento ad internet altrimenti rischi che ti ritiri giù tutto.

crazy.cat ha scritto:Devi prima ammazzare il rootkit, magari quando fai la scansione chiudi il collegamento ad internet altrimenti rischi che ti ritiri giù tutto.

Se si tratta di rootkit, allora è bene fare alcuni tentativi. Scaricati mbr.exe e salvalo in C:\, poi dal prompt DOS lanci questo comando dopo aver disattivato l'antivirus

Codice: Seleziona tutto

start mbr.exe

ti creerà un log che dovrai postare, così si capirà dove questo rootkit si è inserito. Successivamente esegui, sempre da DOS, questo comando

Codice: Seleziona tutto

start mbr.exe -f

e posta anche questo log.
Se questo sistema non elimina l'infezione ti consiglio di leggere questo thread in tutti i suoi post, dove l'argomento riguardante la rimozione dei rootkit è affrontato e risolto alla perfezione (Masterz3d docet )

Uomo_Senza_Sonno ha scritto:Se si tratta di rootkit,

E' un rootkit HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> No action taken. ma non è quello che attacca i settori di boot del disco fisso.

crazy.cat ha scritto:E' un rootkit HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> No action taken. ma non è quello che attacca i settori di boot del disco fisso.

A volte sono troppo allarmista, leggo di fretta e vado in paranoia fino a non dormire più
Meglio così, sarebbe davvero una grande fatica fare quella strada.