Pagina 1 di 3

Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 2:48 pm
da Sabbb
Per non ripristinare tutto il OS,come dovrei togliere sto benedetto script infetto? L'ho messo in quarantena,ma rilanciando la scanzione mi è ricomparso tale e quale e nello stesso percorso.Allora dico ad Avira di eliminarlo,ma rilanciando la scanzione idem .Ah,me ne sono accorto per pura coincidenza,cioè lanciando la solita scanzione mensile.Chissà come ma Avira non l'ha visto prima.

Immagine
Ho pure pulito tutti i file temporanei,riavviato ,ma ricompare sempre.

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 2:52 pm
da Ale2695
Prova a fare una scansione con ComboFix (non installare la Console di Ripristino) e posta il log:
http://download.bleepingcomputer.com/pr ... mboFix.exe

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 2:54 pm
da farbix89
Consigliabile scansionare in provvisoria [:)]

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 2:56 pm
da Sabbb
Ok,sto scaricando.Ma visto che pare che è nei file temporanei,e li ho puliti con Cleaner,come mai non si cancella [uhm] ? Secondo voi,dovrei cambiare le password memorizzate da Chrome?

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 2:58 pm
da hashcat
Ale2695 ha scritto:Prova a fare una scansione con ComboFix (non installare la Console di Ripristino) e posta il log:
http://download.bleepingcomputer.com/pr ... mboFix.exe

Anche un bel log di hijackthis sarebbe utile. Comunque fai la scansione in modalità come detto da farbix89.
Hai per caso provato ad usare unlocker?

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:00 pm
da Ale2695
Sabbb ha scritto:Ok,sto scaricando.Ma visto che pare che è nei file temporanei,e li ho puliti con Cleaner,come mai non si cancella [uhm] ? Secondo voi,dovrei cambiare le password memorizzate da Chrome?

Sinceramente non ne vedo l'utilità... Fai la scansione con Combofix in modalità provvisoria (grazie fabrix, mi ero dimenticato di scriverlo [^] ) e postaci il log, così possiamo valutare meglio.

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:02 pm
da Sabbb
Non ho mai avuto la necessità di usare unloker.Il log l'ho guardato,pare pulito.Ad ogni modo eccolo quello di Hijach

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15.01.26, on 10/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\windows\system32\svchost.exe
C:\Programmi\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Programmi\ATKGFNEX\GFNEXSrv.exe
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\windows\RTHDCPL.EXE
C:\Programmi\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Programmi\ASUS\ATK Hotkey\HControlUser.exe
C:\Programmi\ASUS\ATK Hotkey\HControl.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Rainmeter\Rainmeter.exe
C:\windows\system32\agrsmsvc.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Nitro PDF\Reader\NitroPDFReaderDriverService.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\windows\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\ASUS\ATK Hotkey\ATKOSD.exe
C:\Programmi\ASUS\ATK Hotkey\KBFiltr.exe
C:\Programmi\ASUS\ATK Hotkey\WDC.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Varie-C-CCleaner\Hij\HiJackThis.exe
C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MsgTranAgt] C:\Programmi\ASUS\ATK Hotkey\MsgTranAgt.exe
O4 - HKLM\..\Run: [HControlUser] C:\Programmi\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programmi\ASUS\ATK Hotkey\HControl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Sab\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Rainmeter.lnk = C:\Programmi\Rainmeter\Rainmeter.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Rainmeter.lnk = C:\Programmi\Rainmeter\Rainmeter.exe (User 'Default user')
O4 - Startup: Rainmeter.lnk = C:\Programmi\Rainmeter\Rainmeter.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5539411390
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Servizio di configurazione Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Programmi\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programmi\ATKGFNEX\GFNEXSrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NitroPDFReaderDriverCreatorReadSpool (NitroReaderDriverReadSpool) - Nitro PDF Software - C:\Programmi\Nitro PDF\Reader\NitroPDFReaderDriverService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 8799 bytes

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:06 pm
da farbix89
Il log è pulito.

Prova con Combofix in modalità provvisoria

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:07 pm
da Ale2695
Il log è pulito. Ho notato che però hai installati sia Avira che COMODO Internet Security sul computer, mi chiedevo, su COMODO hai installato anche l'antivirus o solo il firewall?

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:10 pm
da The Stroker ®
Le stranezze della vita...apro questo post per vedere di cosa si discuteva e TAC avira ami avvisa di un file sospetto..di che file si tratta??lo stesso indicato da saab..
Ho aperto la pagina ed eccolo qua:

Immagine

Ora sta in quarantena, provvedo ad analizzare anche io il pc per vedere se c'è una qualsiasi infezione (l'ho scansionato proprio ieri e nn c'era nulla).

* Anche io utilizzo la stessa configurazione di saab..Avira Free con comodo..solo Firewall..XP SP3, appena posso faccio na scansione e vedo cosa trovo anche io..

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:12 pm
da ste_95
Prendi uno di quei file rilevati, caricali da qualche parte, e mandameli per cortesia, che vediamo bene [;)]

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:16 pm
da Ale2695
The Stroker ® ha scritto:Le stranezze della vita...apro questo post per vedere di cosa si discuteva e TAC avira ami avvisa di un file sospetto..di che file si tratta??lo stesso indicato da saab..
Ho aperto la pagina ed eccolo qua:

Immagine

Ora sta in quarantena, provvedo ad analizzare anche io il pc per vedere se c'è una qualsiasi infezione (l'ho scansionato proprio ieri e non c'era nulla).

* Anche io utilizzo la stessa configurazione di saab..Avira Free con comodo..solo Firewall..XP SP3, appena posso faccio na scansione e vedo cosa trovo anche io..

Lo stesso avviso su due computer equipaggiati con Avira... caricaci il file come detto da ste_95, anche perché sono curioso di vedere se lo rileva pure qualche altro AV

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:17 pm
da farbix89
Sospetto un falso positivo,ma non escludo nulla,siamo curiosi di mettere mano al file [std]

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:39 pm
da The Stroker ®
Il file l'ho caricato su mediafire e l'ho mandato tramite MP a ste..sto facendo la coda su virustotal, quando e se finisce vi faccio sapere cosa rileva..anche se sono sicuro che ste darà la soluzione prima che io torni al pc..

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:46 pm
da FDAC
Fortuna che mi sono tenuto Avira 9, la 10 è troppo "strana", IMO.

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:52 pm
da sampei.nihira
Non è questo topic quello incriminato ma quello delle "Poste italiane" aperto da Ale. [;)]
Se aprite quello,(fate una prova), inteviene AVIRA.

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 3:52 pm
da Sabbb
Ragazzi,grazie a tutti.Seguirò comunque la discussione per capire com'è sta cosa.Ad ogni modo Combo mi impiegava moltissimo ,alchè ho riavviato e visto che devo uscire per fare un servizio lancio Acronis e gli dico di spegnere il pc quando ha finito,così al rientro trovo il pc bello e a posto.L'ultima immagine è di circa 10 gg fa ,proprio prima di installare Chrome.Peccato,dovrò reinstallare tutte le estensioni,preferiti ecc.@Ale2695:naturalmente Comodo fa solo da hips e Firewall. @FDAC: mi sa che appena rientro ripasso anche io alla 9.

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 4:06 pm
da sampei.nihira
Lascia la 10....magari naviga sotto Sandboxie che è meglio. [;)]

p.s Lo avete fatto analizzare o no questo tmp ?
Se non c'era un'analisi in corso ci pensavo io.
Anche con le definizioni aggiornate (adesso) c'è intervento.
Inviate eventualmente il file anche a:

http://analysis.avira.com/samples/index.php

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 5:45 pm
da Sabbb
Grazie intanto sampei.Puttroppo (per modo di dire) io ho ripristinato il Sistema per cui non ho più il file.Solo una cosa.Il file lo elimino con Avira.Avira mi conferma che il file è stato eliminato,ma se riavvio e riscanziono è sempre la.Com'è sta cosa?

Re: Rilevamento HTML

MessaggioInviato: mer nov 10, 2010 5:47 pm
da Ale2695
The Stroker ® ha scritto:Il file l'ho caricato su mediafire e l'ho mandato tramite MP a ste..sto facendo la coda su virustotal, quando e se finisce vi faccio sapere cosa rileva..anche se sono sicuro che ste darà la soluzione prima che io torni al pc..

Potevi anche renderlo pubblico il file, uffa... [:p]
[:D] scherzo, comunque aspetto i risultati di virustotal, ma penso sia un falso positivo