Pagina 1 di 1

Controllo log Malwarebytes

MessaggioInviato: lun gen 10, 2011 5:28 pm
da xalx67
Potreste dare un' occhiata a questo log.. in particolare a quella presunta cartella in "C" di cui non trovo traccia. Il resto dovrebbero essere tutte modifiche apportate da me.
Grazie

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5496

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/01/2011 17.19.50
mbam-log-2011-01-10 (17-19-41).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 158150
Tempo trascorso: 12 minuti, 35 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Voci infette nei dati di registro: 6
Cartelle infette: 1
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl\1 (Malware.Trace) -> Value: 1 -> No action taken.

Voci infette nei dati di registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecycleFiles (PUM.Disable.Recycle) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
c:\programmi\antivirus pc 2009\quarantine (Rogue.AntiVirusPC2009) -> No action taken.

File infetti:
(Non sono stati rilevati elementi nocivi)

Re: Controllo log Malwarebytes

MessaggioInviato: lun gen 10, 2011 6:22 pm
da Berga95
Vediamo... sicuramente
xalx67 ha scritto:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Sono da riabilitare...
Mentre questo
xalx67 ha scritto:c:\programmi\antivirus pc 2009\quarantine (Rogue.AntiVirusPC2009) -> No action taken.

mi fa dedurre che hai un bel rogue sul tuo pc... vedi qualche avvertimento di "AntivirusPC2009"?
Posta inoltre un log di [urlhttp://www.MegaLab.it/2286]HijackThis [/url]con il tag MEMO [^]

Re: Controllo log Malwarebytes

MessaggioInviato: lun gen 10, 2011 6:54 pm
da Berga95
Scusa, mi sono dimenticato l'uguale [acc2]
http://www.MegaLab.it/2286

Re: Controllo log Malwarebytes

MessaggioInviato: lun gen 10, 2011 7:11 pm
da xalx67
Eccolo

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.13.27, on 10/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programmi\Microsoft IntelliType Pro\itype.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\SoftNoInstal\RadioSure\RadioSure.exe
C:\WINDOWS\System32\svchost.exe
E:\SoftNoInstal\Firefox\FirefoxPortable.exe
E:\SoftNoInstal\Firefox\App\firefox\firefox.exe
E:\SoftNoInstal\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [itype] "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Alice ADSL.lnk = C:\WINDOWS\system32\rasphone.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Alice ADSL.lnk = C:\WINDOWS\system32\rasphone.exe (User 'Default user')
O4 - Startup: Alice ADSL.lnk = C:\WINDOWS\system32\rasphone.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0809272125
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE536A51-267C-4255-ADB5-5757602D3287}: NameServer = 85.37.17.15 85.38.28.74
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

--
End of file - 5049 bytes

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 3:31 pm
da Ale2695
Il log è pulito, senti, fai una scansione con Combofix, non installare la console di ripristino, e poi posta il log

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 4:30 pm
da Berga95
Berga95 ha scritto:vedi qualche avvertimento di "AntivirusPC2009"?

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 9:31 pm
da xalx67
Non ho capito una cosa: questo AntivirusPC2009 bisogna andarselo a cercare e a scaricare? Lo chiedo perché non ho fatto nulla del genere!

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 10:14 pm
da Ale2695
xalx67 ha scritto:Non ho capito una cosa: questo AntivirusPC2009 bisogna andarselo a cercare e a scaricare? Lo chiedo perché non ho fatto nulla del genere!

No, anzi, AntivirusPC2009 è un malware, Berga ti chiedeva semplicemente, visto che Malwarebytes l'aveva rilevato, se c'erano delle tracce nel sistema di questo fake-antivirus

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 10:15 pm
da Berga95
Scusa, forse mi sono spiegato male io [:)]
Dal log di MalwarBytes si vede la cartella c:\programmi\antivirus pc 2009\quarantine: questa fa parte di un antivirus fasullo (rogue), un virus.
Solitamente un rogue ti fa vedere decine di messaggi che sei infetto, e pretende che tu paghi per attivare il prodotto...
Per questo mi chiedevo se vedevi qualcosa: di solito MBAM è molto efficace contro i rogue, e mi stupiva il fatto che avesse eliminato solo una cartella...
Quindi suppongo che l'infezione è stata interrotta prima che facesse altri danni (tra cui disattivare le notifiche di firewall, AV e Windows Update) [^]
EDIT: @Ale2695

se ci provi ancora a postare 1 minuto prima di me vengo la a Novara e ti piji un calcio sul sedere <.<
[:D]

Re: Controllo log Malwarebytes

MessaggioInviato: mar gen 11, 2011 10:48 pm
da xalx67
Berga95 ha scritto:...
Solitamente un rogue ti fa vedere decine di messaggi che sei infetto, e pretende che tu paghi per attivare il prodotto...

Non mi è successo nulla di tutto questo.
Berga95 ha scritto:Quindi suppongo che l'infezione è stata interrotta prima che facesse altri danni (tra cui disattivare le notifiche di firewall, AV e Windows Update) [^]

I "danni" di cui parli sono riferiti al fatto che io ho disattivato il firewall di Windows, l' avviso relativo all' antivirus e la notifica di eventuali aggiornamenti disponibili per XP (in pratica il centro sicurezza), visto che vado a farmeli in manuale.

Re: Controllo log Malwarebytes

MessaggioInviato: mer gen 12, 2011 3:12 pm
da Berga95
Ah scusa [:D]
Beh, allora sei pulito [^]