MegaLab.it

Inviato: **sab ott 23, 2010 10:15 am**

le anomalie sono:
- improvvisa apertura di windows media player (quello più frequente)
- improvvisa apertura del gestore della posta elettronica (meno frequentemente)
- sospensione di windows (ibernazione non bloccabile) neanche riavviando con la ripresa in esecuzione di windows
- riavvio del computer (solo una volta)
in media si avvia uno dei processi descritti 1 volta ogni tre giorni.
vi posto il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:56:39, on 23/10/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files (x86)\CyberLink\Shared Files\brs.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKCU\..\Run: [Google Update] "C:\Users\IoMe Mi\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC0E6A7-3C13-4DDE-AC23-5A9C63B88900}: NameServer = 156.154.70.25,156.154.71.25
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung UPD Service - Unknown owner - C:\Windows\System32\SUPDSvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 6312 bytes

il log di malwarebytes

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 4922

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23/10/2010 09:41:36
mbam-log-2010-10-23 (09-41-36).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 310244
Tempo trascorso: 41 minuti, 40 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

il log di hitman 3.5 pro

- <Log computer="User" scan="Normal" version="3.5.7.116" date="2010-10-23T11:05:47" timeSpentInSecs="84" filesProcessed="13745">
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.zanox.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:bs.serving-sys.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:c2.zedo.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:content.yieldmanager.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:in.getclicky.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:revsci.net" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:serving-sys.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:statcounter.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:statse.webtrendslive.com" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\IoMe Mi\AppData\Local\Google\Chrome\User Data\Default\Cookies:zedo.com" />
</Item>
</Log>

inoltre la suit 5 di comodo non ha rilevato niente facendo una scansione completa abilitando il Cloud.
Vorrei comunque mantenere questo antivirus per risolvere il problema (quindi vorrei vedere se si possa risolvere senza passare ad avira)
inoltre vorrei chiedere se i cookie trovati da hitman pro 3.5 sono pericolosi ed infine se i cookie in generale possono portare infezioni sul pc

Inviato: **sab ott 23, 2010 10:35 am**

dimenticavo c'è stato anche un messaggio di comodo: quando ho abilitato il taskmanager fra le varie note c'era scritto controllo tastiera mediante taskmanager.
Sara che lo abilitato mentre giocavo o per altre ragioni

Inviato: **sab ott 23, 2010 11:49 am**

Ciao eugenio rispondo alla tua domanda intanto

inoltre vorrei chiedere se i cookie trovati da hitman pro 3.5 sono pericolosi ed infine se i cookie in generale possono portare infezioni sul pc

I cookie sono frammenti di testo inviati da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server; i cookie sono usati per eseguire autenticazioni e tracking di sessioni e memorizzare informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio i siti preferiti o, in caso di acquisti on-line, il contenuto dei loro "carrelli della spesa" (shopping cart).
Ecco , questa è la definizione. Ti assicuro che i cookie non danneggiano il tuo computer.
Esistono pero dei tracking (traccianti) cookie e per la loro funzione si possono inseriere nella gamma spyware perché sono cookie che in qualche modo tracciano la navigazione dell'utente, proprio como uno spyware,
di solito sono inseriti nei siti web da inserzionisti pubblicitari ; questo comporta alcune volte l'apertura di molte finestre popup nei siti che si visitano spesso.
Fai questa prova :
-Scarica CCleaner dal sito ufficiale della piriform ltd
-Installalo (durante l'installzione arriva la finestra che ti chiede se creare icone sul desktop oppure installare yahoo toolbar ecc... non installare la toolbar)
-Fatto questo apri CCleaner,a sinistra clicca sull'opzione pulizia (vedrai accanto all'opzione pulizia ,tutte spunte;togliele tutte lasciando solo quelle di Internet Explorer o Firefox o chrome -le spunte di firefox e chrome le trovare nell'opzione "Applicazioni" affianco a quella "Windows"- e quelle dei File temporanei Windows che pulirà la cartella temporanea del sistema) fatto questo , clicca in basso su analizza.Poi avvia pulizia
Adesso non dovrebbero esserci piu cookie:fai la scansione con hitman pro e vedrai non ci sarà piu niente
Il log di hijackthis mi sembra pulito ma non sono sicuro ....apri il sito di hijackthis (hijackthis.de) ed allega il log nello spazio bianco vedi che dice anche se non è molto affidabile oppure aspettiamo gli altri ; vediamo che ne pensano
[ciao]

Inviato: **sab ott 23, 2010 12:25 pm**

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC0E6A7-3C13-4DDE-AC23-5A9C63B88900}: NameServer = 156.154.70.25,156.154.71.25
questa voce mi porta ad dei siti che non conosco.
provando a navigarci ho riscontrato il seguente messaggio impossibile connettersi al server deduco che possa trattarsi di un sito che controlla il mio pc da internet

Inviato: **sab ott 23, 2010 1:55 pm**

Proprio quella che sospettavo la riga 017 indica un dominio hijack ecco spiegate le anomalie .
EDIT:Il termine hijacking indica una tecnica che consiste nel modificare opportunamente dei pacchetti dei protocolli TCP/IP al fine di dirottare i collegamenti ai propri siti e prenderne il controllo.

Questa tecnica, più nota come Browser Hijacking (dirottamento del browser), permette ai dirottatori di eseguire sul malcapitato computer una serie di modifiche tali da garantirsi la visita alle loro pagine con l'unico scopo di incrementare in modo artificioso il numero di accessi e di click diretti al loro sito e conseguentemente incrementare i guadagni dovuti alle inserzioni pubblicitarie (ad es. banner pubblicitari).

Nei motori di ricerca ad esempio, l'hijacking sfruttando un Bug del motore attraverso il redirect lato server, riesce a sostituirsi al sito "vittima" nei risultati del motore. In pratica in una ricerca su un motore, cliccando sul collegamento scelto, ci appare tutt'altra cosa rispetto a quello desiderato.
Ragazzi che facciamo ? E importante!

Inviato: **sab ott 23, 2010 2:12 pm**

eugenio19911 ha scritto:- improvvisa apertura di windows media player (quello più frequente)
- improvvisa apertura del gestore della posta elettronica (meno frequentemente)

Queste due non sono molto simpatiche.
Segui le istruzioni di fdac e poi di uomo_senza-sonno e posta i due log di Mbr.exe e remover.
post514874.html#p514874

In base ai log poi vedremo come proseguire.

156.154.70.25,156.154.71.25 sono due indirizzi americani, puzza quasi di rete botnet per lo spam.

Inviato: **sab ott 23, 2010 2:27 pm**

Ciao.
Il log di Hijackthis ha di poco confortante solamente quella voce li, la 017.
Malwarebytes non ha trovato nulla, benche' aggiornato.
Hitman Pro, ottima risorsa contro le minacce, ha trovato solamente qualche Cookie.

Volevo pero' chiederti di fare quanto ti dice il Buon Crazy.
Attendiamo i due log.
Ciao!

Inviato: **sab ott 23, 2010 3:03 pm**

Ciao ragazzi, secondo me non si tratta di un bootkit però scansionare con mbr.exe anche quando non serve può risultare utile [^]

Riguardo l'apertura di Media Player la penso come crazy.cat mentre riguardo ai server ,hijackthis dice che si tratta di un dominio hijack però effettivamente a pensarci bene i sintomi del pc non sono legati all'hijacking .
Quel dominio potrebbe trattarsi sia di server Hijacking che di rete botnet per lo spam ?
Potrebbe essere? [uhm]

Inviato: **sab ott 23, 2010 4:26 pm**

scusate la tardiva risposta ma sono dovuto correre via.
adesso se non sbaglio devo eseguire una scansione di malwarebites in modalità provvisoria.
poi con rescue2usb.exe devo far partire la penna da but.
p.s. mentre vi sto rispondendo mi si è "simpaticamente" media player

Inviato: **sab ott 23, 2010 4:30 pm**

eugenio19911 ha scritto:adesso se non sbaglio devo eseguire una scansione di malwarebites in modalità provvisoria.

No.
Segui le istruzioni in questo post post514874.html#p514874

Inviato: **sab ott 23, 2010 4:34 pm**

scusate mbr.exe non malwarebytes scusate l'errore.
sto scaricandoo l'immagine di kaspesky

Inviato: **sab ott 23, 2010 4:36 pm**

dopo eseguirò la scansione con mdr e passerò l'immagine scaricate da iso ad usb e farò la scansione partendo da usb

Inviato: **sab ott 23, 2010 4:46 pm**

mentre aspetto che finisca di scaricare l'immagine secondo voi è opportuno che cambi tutte le password che ho usato, quando (e se) riuscirò ad scacciare l'intruso

Inviato: **sab ott 23, 2010 5:05 pm**

Prima è meglio se pulisci, poi le cambi (o almeno le cambi subito da un pc diverso da quello presunto infetto)

Inviato: **sab ott 23, 2010 5:35 pm**

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Inviato: **sab ott 23, 2010 5:41 pm**

crazy.cat scrive:
156.154.70.25,156.154.71.25 sono due indirizzi americani, puzza quasi di rete botnet per lo spam.

scusate se mi intrometto,potresti provare a usare http://free.antivirus.com/rubotted/ giusto per la rete botnet per essere siguri.ciao

Inviato: **sab ott 23, 2010 5:46 pm**

problema ho windows 7 64bit rubotted non è compatibile

Inviato: **sab ott 23, 2010 5:49 pm**

continua sempre lo stesso errore
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Inviato: **sab ott 23, 2010 5:55 pm**

prova su esegui scrivi mrt (Malicious Software Removal Tool) da martedi 17/10 e stata aggiunta la firma zbot, se vuoi leggere il post topic67322.html non e molto ma potrebbe essere di aiuto.

Inviato: **sab ott 23, 2010 5:59 pm**

mmm... ho la brutta sensazione che dovro ricorrere ad una formattazione di basso livello [cry]

anche se preferirei decisamente a non ricorrere a questo metodo dato che non so quali sono gli effetti collaterali.
a proposito provo con il rescue disk di kaspesky.

MegaLab.it

Strano comportamento di windows

Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows

Re: Strano comportamento di windows