MegaLab.it

Inviato: **ven feb 18, 2011 4:21 pm**

Ciao a tutti.
Sospetto una infezione a causa della facilità con cui salta la connessione a internet sia dal fisso che dal portatile. Nè Avira, nè Malwarebyte hanno rilevato niente, neanche in modalità provvisoria. Ho usato, con le dovute cautele, combofix sul portatile (os: XP), ma il log a me non dice niente. Domanda: come e dove lo posso postare per farlo vedere?
Poi ho provato sul fisso (os: Windows 7) e qui è successa una cosa strana: Combofix si avvia, ma, dopo l'inizio con la scritta "Attendere Prego" il programma sembra fermarsi e poi, regolarmente, si chiude. Questo nonostante abbia disinstallato Avira e disattivato (senza ancora riattivarlo) Windows defender. Non ho altri firewall. Domanda: che succede? E' normale?

Inviato: **ven feb 18, 2011 4:31 pm**

Fez ha scritto:Domanda: come e dove lo posso postare per farlo vedere?

Copia e incollalo qui, usando il tag MEMO:

Codice: Seleziona tutto: [MEMO]Qui ci va il LOG di Combofix[/MEMO]

Inviato: **ven feb 18, 2011 5:35 pm**

Eccolo!

ComboFix 11-02-17.01 - paolo dondoli 18/02/2011 9.05.04.6.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.598 [GMT 1:00]
Eseguito da: c:\documents and settings\paolo dondoli\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-0C24-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-3C24-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CE9-7C92-0300-000100000000}
AV: AntiVir Desktop *Enabled/Updated* {7C8021E7-FFFF-FFFF-0600-CC00ACEF1200}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\paolo dondoli\Dati applicazioni\EurekaLog
c:\documents and settings\paolo dondoli\Dati applicazioni\OfferBox

.
((((((((((((((((((((((((( Files Creati Da 2011-01-18 al 2011-02-18 )))))))))))))))))))))))))))))))))))
.

2011-02-18 07:38 . 2011-02-18 07:38 -------- d-----w- c:\windows\LastGood
2011-02-17 16:49 . 2011-02-17 16:49 -------- d-----w- c:\documents and settings\NetworkService\Menu Avvio
2011-02-13 18:03 . 2011-02-13 18:03 -------- d-----w- c:\documents and settings\paolo dondoli\Impostazioni locali\Dati applicazioni\MetaGeek,_LLC
2011-02-13 17:29 . 2011-02-13 17:29 -------- d-----w- c:\programmi\MetaGeek
2011-02-03 19:24 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-03 19:24 . 2011-02-12 20:50 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-02-03 19:24 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-01 16:56 . 2011-02-01 16:58 20268251 ----a-w- c:\programmi\vlc-1.1.6-win32.exe
2011-01-30 13:57 . 2011-01-30 13:57 103864 ----a-w- c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57 103864 ----a-w- c:\programmi\Internet Explorer\PLUGINS\nppdf32.dll
2011-01-24 16:29 . 2011-01-24 16:29 -------- d-----w- C:\PDFZilla
2011-01-23 17:56 . 2011-01-23 17:59 -------- d-----w- c:\programmi\Free Window Registry Repair
2011-01-21 14:44 . 2011-01-21 14:44 440832 ------w- c:\windows\system32\dllcache\shimgvw.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-09-03 09:36 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-09-03 09:36 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-09-03 09:36 1854976 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-09-03 09:36 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:06 . 2004-09-03 09:36 832512 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:06 . 2004-09-03 09:36 1830912 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 23:06 . 2004-09-03 09:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-12-20 23:06 . 2004-09-03 09:36 17408 ------w- c:\windows\system32\corpol.dll
2010-12-20 17:26 . 2004-09-03 09:36 735744 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-09-03 09:36 389120 ----a-w- c:\windows\system32\html.iec
2010-12-15 18:57 . 2010-12-15 18:57 89088 ----a-w- C:\mbr.exe
2010-12-09 15:15 . 2004-09-03 09:36 739840 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-08-19 13:34 2030592 ------w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:14 . 2004-09-03 09:36 2152448 ------w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:30 . 2004-09-03 09:36 33280 ----a-w- c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-12-08 975360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2006-06-01 573440]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2006-05-12 774233]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"nwiz"="nwiz.exe" [2006-06-12 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-02-23 106496]
"Ulead AutoDetector v2"="c:\programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"DetectorApp"="c:\programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]
"ISUSPM Startup"="c:\progra~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"PCMService"="c:\apps\Powercinema\PCMService.exe" [2006-02-23 147456]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-11-03 188416]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3483:TCP"= 3483:TCP:reqsqv

S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [24/10/2010 9.48.50 136176]
S2 swcwagcm;Windows Boot;c:\windows\system32\svchost.exe -k netsvcs [03/09/2004 10.36.50 14336]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - avgio
*Deregistered* - avipbb
*Deregistered* - ssmdrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
swcwagcm
.
Contenuto della cartella 'Scheduled Tasks'

2011-02-18 c:\windows\Tasks\Garanzia estesa.job
- c:\apps\SMP\PBCARNOT.EXE [2005-11-09 11:55]

2011-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-10-24 08:48]

2011-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-10-24 08:48]

2009-09-21 c:\windows\Tasks\Promemoria registrazione 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-09-03 02:14]

2009-09-28 c:\windows\Tasks\Promemoria registrazione 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-09-03 02:14]

2011-02-18 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-371263434-980582338-1184229450-1006.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2011-02-18 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-371263434-980582338-1184229450-1006.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2011-02-18 c:\windows\Tasks\SpeedUpMyPC.job
- c:\programmi\Uniblue\SpeedUpMyPC\spmonitor.exe [2011-01-17 16:52]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
TCP: {8A145BC3-B1D7-4F36-BB21-3596C876CD71} = 212.216.112.112,212.216.172.62,208.67.222.222,208.67.220.220
TCP: {DBC8035D-B19B-42C9-A569-9A516EB5C506} = 151.99.125.1,151.99.0.100
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\paolo dondoli\Dati applicazioni\Mozilla\Firefox\Profiles\7pky5e5c.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmi\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programmi\Real\RealPlayer\browserrecord\firefox\ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-18 09:08
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\00\00
[%\00«Ô’|\00\00\00\00À\01\15\00\00\00\00\00Ø\"5\03\00\00.\03\01\00\00\00pè\13\00À\01"

.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1592)
c:\windows\system32\WININET.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2011-02-18 09:09:28
ComboFix-quarantined-files.txt 2011-02-18 08:09
ComboFix2.txt 2010-03-30 16:48
ComboFix3.txt 2009-10-14 16:18
ComboFix4.txt 2009-10-12 21:53

Pre-Run: 92.959.309.824 byte disponibili
Post-Run: 92.931.657.728 byte disponibili

- - End Of File - - D83DB0D7E9E7D87400DFE12A4C9ED058

Inviato: **ven feb 18, 2011 6:35 pm**

Mmm... prova a fare una scansione con Hijackthise posta il log nello stesso modo

Inviato: **ven feb 18, 2011 6:48 pm**

Ecco anche Hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.51.15, on 18/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17095)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Uniblue\SpeedUpMyPC\spmonitor.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\APPS\Powercinema\PCMService.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\svchost.exe
C:\APPS\SMP\SmpSys.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Uniblue\SpeedUpMyPC\sump.exe
C:\Programmi\Java\jre6\bin\java.exe
C:\Documents and Settings\paolo dondoli\Documenti\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5293026265
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A145BC3-B1D7-4F36-BB21-3596C876CD71}: NameServer = 212.216.112.112,212.216.172.62,208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC8035D-B19B-42C9-A569-9A516EB5C506}: NameServer = 151.99.125.1,151.99.0.100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 7965 bytes

Inviato: **sab feb 19, 2011 12:45 pm**

Mmm... non mi convince molto questo:
C:\Programmi\Uniblue\SpeedUpMyPC\spmonitor.exe

E' l'eseguibile di Uniblue SpeedUpMyPC, lo hai installato tu?

Inviato: **sab feb 19, 2011 1:38 pm**

Ale2695 ha scritto:Mmm... non mi convince molto questo:
C:\Programmi\Uniblue\SpeedUpMyPC\spmonitor.exe

E' l'eseguibile di Uniblue SpeedUpMyPC, lo hai installato tu?

E' l'eseguibile, alcuni programmi della uniblue vengono installati o "consigliati" durante l'installazione di altri programmi, se Fez non ricorda di aver installato il programma può tranquillamente rimuoverlo.

Durante l'analisi del log di hijackthis ho trovato alcune voci relative all'antivirus avg, poiché possiedi avira e presumo che tu abbia rimosso avg sono rimasti dei residui. Per eliminare tutte le tracce fixa queste voci con hijackthis:

Codice: Seleziona tutto: O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

Poi scarica il removal tool di avg, eseguilo, elimina tutte le tracce e riavvia il computer.

Dopo il riavvio del computer carica e fai analizzare i seguenti file su virustotal:

Codice: Seleziona tutto: c:\windows\system32\svchost.exe

Verifica la presenza del seguente file e in caso questo fosse presente caricalo su virustotal (è molto probabilmente malevolo):

Codice: Seleziona tutto: C:\Windows\System32\netsvcs.exe

Leggendo il log di Combofix ho notato questa voce:

Codice: Seleziona tutto: HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus

Che sembra appartenere a qualche prodotto della symantec (Norton Antivirus, Ghost). Se al momento non possiedi o non ricordi di aver installato tale prodotto scarica l'apposito removal tool per rimuovere tutte le tracce relative al software.

Inoltre sempre dal log di combofix è emersa questa voce:

Codice: Seleziona tutto: c:\documents and settings\paolo dondoli\Dati applicazioni\OfferBox

Che sembra relativa a "OfferBox" un programma potenzialmente indesiderato che monitora il web in cerca di promozioni e sconti interessanti. Se non lo ritieni utile lo possiamo eliminare (Dovrebbe essere rilevato da malwarebyes come "PUP.OfferBox").

A questo punto ti consiglio di aggiornare il database di malwarebytes e controllare di possedere l'ultima versione (1.50.1.1100).
Dopo aver verificato questa cosa esegui una scansione completa del computer e posti qui il log.

N.B.: Una volta caricati i file su virustotal devi postare il link relativo alla loro analisi, se vengono rilevati infetti da più di 5 antivirus puoi procedere da solo alla rimozione

Inviato: **sab feb 19, 2011 4:28 pm**

Ok!
SpeedUpMyPC l'ho installato io ed è tuttora presente sul mio pc.
Per ciò che riguarda il resto: AVG lo avevo prima di Avira, della Symantec non ho mai installato nulla, mi sa che era "nel pc" quando l'ho acquistato.
Ora procedo pazientemente a tutte le operazioni, poi posto tutto ciò che ottengo.
Intanto grazie!!!

Inviato: **dom feb 20, 2011 10:06 am**

Rieccomi!
Ho tolto le ultime tracce di AVG e Symantec, e ho fatto analizzare svchost da virustotal. Non è stato rilevato infetto. Questo è il link:
http://www.virustotal.com/file-scan/com ... 1298147599

Il file netsvcs non è presente nel pc.

Ho aggiornato Malwarebytes ed eseguito la scansione completa. Nessun rilevamento, questo è il log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5813

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

19/02/2011 23.51.49
mbam-log-2011-02-19 (23-51-49).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 213937
Tempo trascorso: 47 minuti, 31 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

N.B.: un paio di settimane fa Malwarebytes mi aveva trovato e rimosso un adware PUP, questo è il log relativo:

Versione database: 5670

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03/02/2011 21.15.31
mbam-log-2011-02-03 (21-15-31).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 214041
Tempo trascorso: 49 minuti, 8 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\system volume information\_restore{98df0744-e9d0-4d5d-baff-085c137adb1b}\RP155\A0011577.exe (PUP.Adware.Agent) -> Quarantined and deleted successfully.

In quella occasione la connessione da internet saltava ogni 2-3 minuti, una volta eliminato le cose sono andate molto meglio.
Peraltro se il pc sembra risultare "pulito" può anche darsi che i miei problemi siano dovuti a scadente qualità della connessione, ipotesi tutt'altro che peregrina.

A questo punto però proverei a fare uno scan con Hijackthis anche del pc fisso. Voi che ne dite?

Inviato: **dom feb 20, 2011 10:21 am**

Fez ha scritto:File infetti:
c:\system volume information\_restore{98df0744-e9d0-4d5d-baff-085c137adb1b}\RP155\A0011577.exe (PUP.Adware.Agent) -> Quarantined and deleted successfully.
In quella occasione la connessione da internet saltava ogni 2-3 minuti, una volta eliminato le cose sono andate molto meglio.

Il file era nel ripristino della configurazione, sicuramente non influiva sulla connessione.
Se le cose erano migliorate è stato un caso.

Inviato: **dom feb 20, 2011 12:22 pm**

hashcat ha scritto:
Ale2695 ha scritto:Mmm... non mi convince molto questo:
C:\Programmi\Uniblue\SpeedUpMyPC\spmonitor.exe

E' l'eseguibile di Uniblue SpeedUpMyPC, lo hai installato tu?

E' l'eseguibile, alcuni programmi della uniblue vengono installati o "consigliati" durante l'installazione di altri programmi, se Fez non ricorda di aver installato il programma può tranquillamente rimuoverlo.

Avevo pensato che magari, durante qualche ottimizzazione, qualcosa fosse andato storto, anche perché non penso che qualche files di Norton possano influire sulla connessione. Per il resto però, non c'è nulla che non va, la connessione ora è stabile?

Inviato: **dom feb 20, 2011 7:10 pm**

La connessione sembra ragionevolmente stabile, ma i problemi li ho sui tempi lunghi, ad es. su upload e download che durano 15-20 minuti. Sui tempi brevi di un video youtube o amenità simili va tutto ok.
Ripeto, può benissimo darsi che la colpa sia proprio della connessione, che non brilla per velocità e stabilità. Per togliermi tutti i dubbi posto qui comunque anche il log di Hijackthis che ho eseguito sull'altro pc, quello fisso, che utilizza sempre la stessa connessione. C'è qualcosa di anomalo?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:09:14, on 20/02/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Creative\MediaSource\Go\CTCMSGo.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files (x86)\NCH Software\HourGuard\hourguard.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Utente\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2801948
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\tbNCH_.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O2 - BHO: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\tbNCH_.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\tbNCH_.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HourGuard] "C:\Program Files (x86)\NCH Software\HourGuard\hourguard.exe" -logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files (x86)\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6848 bytes

MegaLab.it

Domanda su Combofix

Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix

Re: Domanda su Combofix