MegaLab.it

Inviato: **mer giu 15, 2011 7:36 pm**

Computer acceso da 10 minuti (Seven) mentre sto facendo le mie cose (normale amministrazione-posta ecc) mi accorgo che Comodo scompare dalla tray (C'è l'impostazione mostra icona e notifiche) al che controllo meglio e vedo che non è neanche nascosto (praticamente spariito) e Avira ha il Guard disattivato;riavvio e tutto procede regolarmente.Al momento sto facendo controlli incrociati,ma non trovate che la cosa è strana non poco? Due programmi insieme (e per di più programmi per la protezione) disattivati?

Inviato: **mer giu 15, 2011 8:06 pm**

Niente,dall'antivirus,passando per malwarebytes,hij Hitman Pro rusulta tutto ok,eppure strana coincidenza [uhm]

Inviato: **mer giu 15, 2011 8:16 pm**

Posta il log di HijackThis... Giusto per controllare che non ti sia sfuggito nulla...

Inviato: **mer giu 15, 2011 8:19 pm**

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:22:17, on 15/06/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\DatacardService\DCSHelper.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mobile Partner\Mobile Partner.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\CCleaner-backup e Hij\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DAADD38-F971-4B99-8E94-412064E482C3}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{496719D1-1802-4812-B1C0-C456AC3EA652}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A368BCF-4A81-4A3B-B9E0-3CFE3048FE0E}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{829A976D-5FE9-40B5-AB04-802EE0DB8031}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{C75A5C6F-888E-4D84-99B5-CE37C5C288D2}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA22142-229C-4909-A584-22175137DE89}: NameServer = 198.153.192.1,198.153.194.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\guard32.dll C:\Windows\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: DCService.exe - Unknown owner - C:\ProgramData\DatacardService\DCService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--

Inviato: **mer giu 15, 2011 10:04 pm**

questo file non saprei

Codice: Seleziona tutto: C:\ProgramData\DatacardService\DCSHelper.exe

controllalo per sicurezza su VT
per il resto log pulito [^]

notavo questi

Codice: Seleziona tutto: 198.153.194.1 ,198.153.192.1

ma sono i dns Norton

Inviato: **mer giu 15, 2011 10:23 pm**

CRY >< PAX ha scritto:... notavo questi
Codice: Seleziona tutto
198.153.194.1 ,198.153.192.1

ma sono i dns Norton

Inviato: **mer giu 15, 2011 10:30 pm**

CRY >< PAX ha scritto:questo file non saprei
Codice: Seleziona tutto
C:\ProgramData\DatacardService\DCSHelper.exe

controllalo per sicurezza su VT
per il resto log pulito

Mi pare fare parte della Key Wind (Mobil Partner)

notavo questi
Codice: Seleziona tutto
198.153.194.1 ,198.153.192.1

ma sono i dns Norton

Si sono loro. Strano:mai capitato..Domani faccio altri controlli [grazie]

Inviato: **gio giu 16, 2011 1:31 pm**

Unica rilevazione

Tra poco vedo se Gmer termina la sua scansione. (Appena fatto un controllo con Prevx e tutto regolare)

Inviato: **gio giu 16, 2011 1:34 pm**

Per il momento

Inviato: **gio giu 16, 2011 1:45 pm**

Come potrei procedere adesso?

Inviato: **gio giu 16, 2011 2:06 pm**

Sabbb ha scritto:Come potrei procedere adesso?

La dll rootkit è una componente di prevx.

Hai provato a reinstallarli i due programmi?

Inviato: **gio giu 16, 2011 2:14 pm**

crazy.cat ha scritto:
La dll rootkit è una componente di prevx.

Hai provato a reinstallarli i due programmi?

In realtà non li tengo installati in maniera definitiva questi programmi; quindi anche adesso li ho installati poco prima di Gmer per fare un controllo. Se siamo sicuri che appartiene a Prevx l'avviso per il file in questione siamo a posto ? (se mi dai conferma del file mi fai un favore)

Inviato: **gio giu 16, 2011 2:16 pm**

Il file dovrebbe appartenere a Prevx:

http://www.wilderssecurity.com/showthread.php?t=257844

Per sicurezza zippalo e caricalo su MediaFire e inserisci qui il link così facciamo qualche verifica aggiuntiva. [^]

Inviato: **gio giu 16, 2011 2:22 pm**

Fatto copia incolla (per cercare il file ) dal log di Gmer,anche se vedo che la dicitura numerica sembra essere diversa [uhm]

ad ogni modo ecco il file (caricato già su VT) https://rapidshare.com/files/1261464224/PxSecure.rar

Inviato: **gio giu 16, 2011 2:26 pm**

Ora controllo meglio ma ad occhio dire che è sicuro (possiede la firma digitale di Prevx valida):

Immagine

EDIT: Il file è sicuro [^]

Inviato: **gio giu 16, 2011 2:31 pm**

Faccio una cosa (tanto la dovevo fare già)
Faccio il ripristino immagine con Acronis,e riscansiono con Gmer ; in quella immagine non c'è traccia di Prevx perché mai installato (ma mi fido comunque,e se no non avrei chiesto a voi [;)]

) e vediamo cosa esce fuori.
Ad ogni modo non mi capacito per l'accaduto: Avira e Comodo disabilitati nello stesso momento [uhm]

Non vorrei avessi beccato qualche vermiciattolo supernuovo.
A dopo..
Thanks.......

Inviato: **gio giu 16, 2011 2:43 pm**

Oltretutto Prevx è stata acquisita da Webroot.
Chi vuole fare il beta tester per il nuovo prodotto (che mi sembra stia risquotendo anche all'estero pareri iniziali favorevoli):

http://info.webrootcloudav.com/betasignup.asp

Inviato: **gio giu 16, 2011 7:25 pm**

Bene,questo è il Gmer .

Adesso una controllata con

e avrei finito (povero HD [ehm]

) ..Come sempre [grazie]

MegaLab.it

Comportamento anomalo

Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo

Re: Comportamento anomalo