MegaLab.it

Inviato: **dom lug 10, 2011 5:28 pm**

Ciao a tutti.. dispiace sentirsi solo per certe cose.... ma è un po' che non programmo ed ho perso l'abitudine di postare.... [rolleyes]

Ho un problemino con un eseguibile;
VirusTotal mi dice che è : Win32:Sefnit-CG, oppure Backdoor.Win32.Undef.tel oppure TrojanDownloader.Agent.spyg
(se volete vi posto tutto).
Norton Antivirus mi dice che non ho problemi....

Questo è il log di HijackThis. GRAZIE

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:15:05, on 10/07/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.jzip.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:14000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: jZip Toolbar - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\IPS\IPSBHO.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-2411656598-1775660867-1678850092-1005\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '####')
O4 - HKUS\S-1-5-21-2411656598-1775660867-1678850092-1005\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '####')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Program Files\PokerStars.IT\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlcdnet.asus.com/pub/ASUS/misc/d ... .2.5.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs:
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: lxcc_device - - C:\Windows\system32\lxcccoms.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe

--
End of file - 5123 bytes

Inviato: **dom lug 10, 2011 5:33 pm**

Dal log non si vede niente, che problemi hai con il pc?
Questo eseguibile lo hai usato?
Posta il link di virustotal.

Inviato: **dom lug 10, 2011 5:35 pm**

fixare

Codice: Seleziona tutto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.jzip.com/ in modo da riportare la tua pagina iniziale voci inutili: O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O3 - Toolbar: (no name) - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file) se la toolbar ti serve altrimenti: O2 - BHO: jZip Toolbar - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)

niente di pericoloso però

Inviato: **dom lug 10, 2011 6:16 pm**

Codice: Seleziona tutto: AhnLab-V3 2011.07.11.00 2011.07.10 Malware/Win32.Generic AntiVir 7.11.11.45 2011.07.08 - Antiy-AVL 2.0.3.7 2011.07.10 - Avast 4.8.1351.0 2011.07.10 Win32:Sefnit-CG Avast5 5.0.677.0 2011.07.10 Win32:Sefnit-CG AVG 10.0.0.1190 2011.07.10 Generic23.BANF BitDefender 7.2 2011.07.10 Gen:Variant.Sefnit.2 CAT-QuickHeal 11.00 2011.07.10 - ClamAV 0.97.0.0 2011.07.10 - Commtouch 5.3.2.6 2011.07.09 - Comodo 9337 2011.07.10 - DrWeb 5.0.2.03300 2011.07.10 - Emsisoft 5.1.0.8 2011.07.10 Gen.Variant.Buzy!IK eSafe 7.0.17.0 2011.07.07 - eTrust-Vet 36.1.8434 2011.07.08 - F-Prot 4.6.2.117 2011.07.09 - F-Secure 9.0.16440.0 2011.07.10 Gen:Variant.Sefnit.2 Fortinet 4.2.257.0 2011.07.10 - GData 22 2011.07.10 Gen:Variant.Sefnit.2 Ikarus T3.1.1.104.0 2011.07.10 Gen.Variant.Buzy Jiangmin 13.0.900 2011.07.09 - K7AntiVirus 9.108.4891 2011.07.10 - Kaspersky 9.0.0.837 2011.07.10 - McAfee 5.400.0.1158 2011.07.10 - McAfee-GW-Edition 2010.1D 2011.07.09 - Microsoft 1.7000 2011.07.10 - NOD32 6281 2011.07.10 - Norman 6.07.10 2011.07.10 - nProtect 2011-07-10.01 2011.07.10 Gen:Variant.Sefnit.2 Panda 10.0.3.5 2011.07.10 - PCTools 8.0.0.5 2011.07.08 - Prevx 3.0 2011.07.10 - Rising 23.65.04.03 2011.07.08 Backdoor.Win32.Undef.tel Sophos 4.67.0 2011.07.10 - SUPERAntiSpyware 4.40.0.1006 2011.07.09 - Symantec 20111.1.0.186 2011.07.10 - TheHacker 6.7.0.1.252 2011.07.10 Trojan/Downloader.Agent.spyg TrendMicro 9.200.0.1012 2011.07.10 - TrendMicro-HouseCall 9.200.0.1012 2011.07.10 - VBA32 3.12.16.4 2011.07.08 TrojanDownloader.Agent.spyg VIPRE 9823 2011.07.10 - ViRobot 2011.7.9.4560 2011.07.10 - VirusBuster 14.0.116.0 2011.07.09 -

Si, ho avviato l'eseguibile e mi è uscito solo un "backdoor.log" (che non ti posto xchè l'ho cestinato ) ma poi più nulla; x ora nessun problema al pc però volevo solo essere sicuro.

Googlando un po' ho trovato che quel "Explorer.EXE" con la exe maiuscola può essere pericoloso.. basta fixarlo con HJack secondo te crazy.cat ?
Seguirò il tuo consiglio eugenio19911.....

Ciao a tutti e grazie

Inviato: **dom lug 10, 2011 6:43 pm**

thread.net ha scritto:mi è uscito solo un "backdoor.log"

Che brutto nome....
Se non hai problemi a scaricare io mi farei un controllo da cd live con gdata
http://www.gdata.ch/typo3conf/ext/dam_f ... docID=4196
masterizzi l'iso e fai il boot da cd.

Googlando un po' ho trovato che quel "Explorer.EXE" con la exe maiuscola può essere pericoloso.. basta fixarlo con HJack secondo te crazy.cat ?

No, lascialo stare.

Inviato: **dom lug 10, 2011 7:44 pm**

scaricato gdata e masterizzato ma la iso ad un certo punto si blocca (ho provato in modo normale e alternativo)... per cui ...nulla!
Sto provando con diversi anti-virus e se mi esce qualcosa te lo comunico... Grazie! alla prossima

Inviato: **lun lug 11, 2011 9:37 am**

O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Program Files\PokerStars.IT\PokerStarsUpdate.exe
Non conosciuto![!!!]

MegaLab.it

log hijackthis

log hijackthis

Re: log hijackthis

Re: log hijackthis

Re: log hijackthis

Re: log hijackthis

Re: log hijackthis

Re: log hijackthis