MegaLab.it


http://www.megalab.it/forum/

probelema virus

./viewtopic.php?f=33&t=67996&start=0

Pagina 1 di 2

probelema virus

MessaggioInviato: sab nov 13, 2010 5:31 pm
da eugenio19911
il pc ha fatto 3 bip corti (questo potrebbe essere "normale" se il computer segnala qualche anomalia hardware), però c'è un problema:
un mio amico è successa la stessa pochi giorni fa', quando ha messo il suo cell nel computer dopo aver scaricato un tema dopo poco in telefonino ha rilevato un software malevolo nel telefono ed era partita una connessione internet (dal cell) senza saperlo (cioè senza che se ne potesse accorgere dato che il cell risultava sempre nella schermata iniziale) e controllando dopo un po' il credito risutava taffico dati verso un sito estero.
Non vorrei che potesse essere un virus che infetta i pc dato che il cell è stato da poco collegato anche nel mio computer
P.S. ha una memory micro sd

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 5:33 pm
da eugenio19911
vi posto il log di HijackThis anche se sembra pulito

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:21:44, on 13/11/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files (x86)\IObit\Advanced SystemCare 3\AWC.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Program Files (x86)\Uniblue\SystemTweaker\systemtweaker.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Users\IoMe Mi\Desktop\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Immunet Protect] "C:\Program Files\Immunet Protect\2.0.17\iptray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: COMODO System - Cleaner Service (Cleaner_Validator) - Unknown owner - C:\Program Files\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Programs Manager Service (CPMService) - Unknown owner - C:\Program Files\COMODO\COMODO Programs Manager\CPMService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Immunet Protect (ImmunetProtect) - Immunet Corporation - C:\Program Files\Immunet Protect\2.0.17\agent.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung UPD Service - Unknown owner - C:\Windows\System32\SUPDSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Winstep Xtreme Service - Unknown owner - C:\Program.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 8021 bytes

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 5:34 pm
da stevens
ciao

scarica questo programma e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.

Non appena lo avro' analizzato ti diro' come procedere

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 5:40 pm
da Berga95
E che cos'è quello sopra? [...]

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 5:51 pm
da eugenio19911
già postato nel tag memo

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 6:15 pm
da eugenio19911
comodo, immue projects, malwarebytes niente

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 8:25 pm
da stevens
hai un sistema a 32 o 64 bit

hjt non e' molto affidabile su windows 7

Scarica e installa malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 8:38 pm
da Sabbb
Ciao Stevens.Hai un PM.

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 8:53 pm
da FDAC
Scusa, Stevens, lo vedi anche tu che il SO è a 64 Bit, senza dubbio alcuno.
Basta guardare i servizi -File Missing-.

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:01 pm
da Berga95
E poi con MBAM ha già scansionato... li leggi i messaggi? [uhm]
[:D]

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:14 pm
da FDAC
Beh, tornando a noi, questo processo, non mi dice nulla di buono e confortevole, visto che si trova per BEN 19 Volte attivo nel Tuo SO, ci sono 19 istanze contemporaneamente di quel programma.
C:\Program Files (x86)\Comodo\Dragon\dragon.exe

Visto che Comodo non è in Esecuzione Automatica ma i suoi servizi partono all'avvio del PC.
La cosa è misteriosa.

Disinstalla questi programmi, intanto:
Uniblue SystemTweaker
Emsisoft Anti-Malware 5.0

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:18 pm
da stevens
scarica systemscan

clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.

esegui di systemscan solo le scansioni:

- Recent files
- Registry Run Keys
- Services and Drivers
- Master Boot Record

edit

E poi con MBAM ha già scansionato... li leggi i messaggi? [uhm]
[:D]


puoi mostrarmi dove ha fatto la scansione? potrei anche non vederla bene

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:49 pm
da Berga95
eugenio19911 ha scritto:comodo, immue projects, malwarebytes niente

Deduco che abbia scansionato [uhm] e che non abbia trovato niente [std]
Poi spero che abbia fatto una scansione completa [;)]

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:55 pm
da stevens
Deduco che abbia scansionato e che non abbia trovato niente


se non ne hai la certezza abbi almeno il buon senso di non intervenire facendo battutine ironiche, non servono a niente

Re: probelema virus

MessaggioInviato: sab nov 13, 2010 9:58 pm
da FDAC
Se ha scritto che "Ha scansionato con Malwarebytes e non ha rilevato nulla", non vedo il motivo di prendersela tanto.
Ciao.

Re: probelema virus

MessaggioInviato: dom nov 14, 2010 9:27 am
da eugenio19911
immagino che la domanda sia banale, ma devo postare tutto il log di system scan ho servono solo delle parti dato che è MOLTO LUNGO

Re: probelema virus

MessaggioInviato: dom nov 14, 2010 10:22 am
da FDAC
Caricalo in file di testo su Wikisend.
Poi fai anche quanto ti ho detto precedentemente.

Re: probelema virus

MessaggioInviato: dom nov 14, 2010 12:16 pm
da eugenio19911
http://wikisend.com/download/421670/report.txt
ho fatto anche un po' di pulizia dopo

Re: probelema virus

MessaggioInviato: dom nov 14, 2010 1:33 pm
da stevens
conosci questa cartella?

C:\Users\IOMEMI~1\AppData\Local\Temp\etilqs_5uJBhvqv9dJepQ7h7aJk

e' stata creata stamattina poco dopo le 9

se non la conosci dimmi solamente cosa contiene

Re: probelema virus

MessaggioInviato: dom nov 14, 2010 1:38 pm
da eugenio19911
dovrebbe essere una cartella di file temporanei, la creazione di stamattina può essere dovuta a ccleaner visto che qualche volta faccio pulizia, comunque contiene file temporanei di comodo,7zip ecc.
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 2
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/