Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Hijacker che blocca aggiornamento antivirus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » sab set 27, 2008 10:26 pm

Un qualche tipo di malware mi causa i seguenti problemi:

1)Dirottamento delle ricerche su Google: se clicco sui risultati mi manda su pagine commerciali
2) Impossibile aggiornare Avast, AdAware, Nod 32 (che ho provato a installare) e RAGGIUNGERE pagine internet dei principali antivirus e antimalware (tutti quelli che segnalate nelle pagine sulla sicurezza)
3) Ogni tanto si apre la finestra del conteggio alla rovescia prima del riavvio come in Blaster di qualche anno fa

Prima di spianare tutto vorrei capire di cosa si tratta,
grazie
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » dom set 28, 2008 6:44 am

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » dom set 28, 2008 7:33 pm

Se clicco sul link che hai messo nel post la pagina non si apre (si apre la scheda ma resta bianca)
Se lo cerco con google e clicco sul link mi si apre una pagina fasulla su un sito di collegamenti sponsorizzati (bediddle.com)
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm


Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » dom set 28, 2008 7:58 pm

Prova a scaricare ComboFix da un altro computer, rinominarlo togliendoci una lettera, e copiarlo sul tuo computer. Prova quindi a lanciarlo e vedi se funziona.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » dom set 28, 2008 8:51 pm

Tramite proxy ho scaricato gmer ma lanciandolo compare questo avviso:
http://freefilehosting.net/show/40875
Se clicco ok e proseguo compare un altro avviso:
http://freefilehosting.net/show/40877
che premendo scan si ripete e gmer va chiuso con il task manager.

Il link a combofix mi porta a un forum in spagnolo dove non trovo l'applicazione
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » lun set 29, 2008 6:15 am

«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » mar set 30, 2008 1:01 am

Ho scaricato Combofix tramite proxy e ha risolto [applauso+] (spero). Ho dovuto reinstallare Avast ma tutto sembra ok.comunque ho lanciato anche Gmer che stavolta ha funzionato e aggiungo i risultati
http://freefilehosting.net/download/409jj
http://freefilehosting.net/download/409jk

Ho dato una scorsa ai risultati di Gmer e di Combofix ma non ho capito di che si trattava esattamente; cioè era un rootkit ma non ho capito quale. (E neanche cos'è)
Spero non ci siano altri problemi e comunque grazie molte del prezioso aiuto [:)]
Ciao
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » mar set 30, 2008 6:08 am

Possiamo vedere il log di ComboFix?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » mar set 30, 2008 9:19 pm

Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » mer ott 01, 2008 6:07 am

Cerca il file aq41ejq8.SYS nel tuo computer, e poi fallo scansionare su www.virustotal.com
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » mer ott 01, 2008 7:47 pm

Cercato col nome aq41ejq8.SYS su tutte le unità disco ma non c'è.
Rifatta scansione con Gmer si vede che ha cambiato nome in ao25lbk9.SYS ecco il log:
http://freefilehosting.net/download/40b88
ma cercandolo non si trova.
Sono anche andato in system32\drivers, ho fatto visualizzare i file nascosti e di sistema ma non si vede lo stesso
Ultima modifica di irvine il mer ott 01, 2008 8:43 pm, modificato 1 volta in totale.
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » mer ott 01, 2008 8:03 pm

Male...

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Gestione Risorse -> a43 File Management.
Esplorando il tuo disco fisso, trovi il presunto file?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda crazy.cat » gio ott 02, 2008 7:25 am

Non è che sia un driver virtuale di VirtualCloneDrive?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » gio ott 02, 2008 8:08 pm

Fatto controllo in questo modo:
1)Scansione gmer per vedere che nome ha il file (lo cambia ad ogni riavvio)
2) Spento pc dall' alimentatore per evitare eventuali cancellazioni del file da parte del presunto malware alla chiusura
3)Controllato con MegaLab cd usando A43: non si trova assolutamente.
Ho l'impressione che possa essere qualcosa di lecito(?).
Interrompendo il processo VcdDaemon e rifacendo la scansione gmer il file è rilevato lo stesso

p.s. Tra l' altro (ma non c'entra con questo)a suo tempo ho notato che installando i driver della scheda madre Asrock K7S41GX viene installato un adiras
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » ven ott 03, 2008 6:19 am

Bon dai, non stiamo a spezzare il capello in quattro, se non hai più problemi si presume che tu possa essere a posto. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda irvine » ven ott 03, 2008 5:39 pm

OK, [grazie] mille
Avatar utente
irvine
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer gen 23, 2008 10:08 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda DAS » sab dic 13, 2008 1:35 pm

salve ragazzi ho letto molto molto attentamente questo topic. ho un problema analogo all'utente che ha iniziato la discussione, però sono particolarmente incavolato perché ho fatto appena formattare il pc da un tecnico, e dopo appena due giorni già questo macello!!! [cry]

dunque i problemi riscontrati sono:

1) ricerche tramite google che danno come risultato siti strani...

2) rallentamento pazzesco del pc che prima era velocissimo...

3) l'antivirus Panda2009 appena installato dal tecnico non si aggiorna...

ho seguito attentamente le istruzioni riportate nel topic, ed utilizzando COMBO FIX il risultato prodotto è:

ComboFix 08-12-12.03 - Marcolino 2008-12-13 12.47.02.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.511.128 [GMT 1:00]
Eseguito da: c:\documents and settings\Marcolino\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ntnet.drv
c:\windows\system32\sysaudio.sys

.
((((((((((((((((((((((((( Files Creati Da 2008-11-13 al 2008-12-13 )))))))))))))))))))))))))))))))))))
.

2008-12-13 12:27 . 2008-12-13 12:27 250 --a------ c:\windows\gmer.ini
2008-12-13 00:26 . 2008-12-13 00:26 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2008-12-12 15:23 . 2008-12-12 15:23 <DIR> d-------- c:\programmi\Microsoft CAPICOM 2.1.0.2
2008-12-12 15:20 . 2008-12-12 15:20 <DIR> d-------- c:\programmi\MSXML 4.0
2008-12-12 14:28 . 2008-12-13 12:04 3,042 --a------ c:\windows\system32\PerfStringBackup.TMP
2008-12-12 14:23 . 2008-12-12 14:23 <DIR> d--hs---- C:\FOUND.000
2008-12-12 12:31 . 2008-12-12 12:31 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\AdobeUM
2008-12-12 12:28 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\drivers\bthport.sys
2008-12-12 12:28 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys
2008-12-12 12:27 . 2008-08-14 10:51 138,368 --------- c:\windows\system32\dllcache\afd.sys
2008-12-12 12:26 . 2007-04-02 06:58 546,304 --------- c:\windows\system32\dllcache\hhctrl.ocx
2008-12-12 12:24 . 2008-08-28 11:04 333,056 --------- c:\windows\system32\dllcache\srv.sys
2008-12-12 12:17 . 2008-09-15 16:38 1,846,016 --------- c:\windows\system32\dllcache\win32k.sys
2008-12-12 12:16 . 2008-08-14 14:37 2,189,696 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-12 12:16 . 2008-08-14 14:37 2,146,304 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-12 12:16 . 2008-08-14 14:37 2,066,688 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-12 12:16 . 2008-08-14 14:37 2,024,448 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-12 12:10 . 2008-05-08 13:28 202,752 --------- c:\windows\system32\dllcache\rmcast.sys
2008-12-12 12:09 . 2008-10-24 12:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-12 12:08 . 2008-04-11 19:50 683,520 --------- c:\windows\system32\dllcache\inetcomm.dll
2008-12-12 12:08 . 2008-05-01 15:31 331,776 --------- c:\windows\system32\dllcache\msadce.dll
2008-12-12 11:47 . 2008-10-15 17:57 332,800 --------- c:\windows\system32\dllcache\netapi32.dll
2008-12-12 11:47 . 2008-10-03 11:15 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2008-12-12 11:46 . 2008-09-04 17:44 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2008-12-11 15:42 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2008-12-11 15:42 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2008-12-10 19:57 . 2008-12-10 19:57 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\dvdcss
2008-12-10 18:58 . 2008-12-10 18:58 <DIR> d-------- c:\documents and settings\Marcolino\Contacts
2008-12-10 18:49 . 2008-12-10 18:49 <DIR> d-------- c:\programmi\Windows Live
2008-12-10 18:49 . 2008-12-10 18:49 <DIR> d--hs---- c:\programmi\File comuni\WindowsLiveInstaller
2008-12-10 18:49 . 2008-12-10 18:49 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\WLInstaller
2008-12-10 14:16 . 2008-12-10 14:16 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\vlc
2008-12-10 12:28 . 2008-12-10 12:28 <DIR> d-------- c:\programmi\VideoLAN
2008-12-10 12:12 . 2008-12-10 12:12 <DIR> d-------- c:\windows\system32\it-it
2008-12-10 12:12 . 2008-12-10 12:12 <DIR> d--h----- c:\windows\msdownld.tmp
2008-12-10 12:12 . 2008-12-10 12:12 <DIR> d-------- c:\programmi\Google
2008-12-09 23:08 . 2008-12-09 23:08 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-09 23:04 . 2008-10-16 21:04 6,066,176 --------- c:\windows\system32\dllcache\ieframe.dll
2008-12-09 23:04 . 2007-04-17 10:32 2,455,488 --------- c:\windows\system32\dllcache\ieapfltr.dat
2008-12-09 23:04 . 2007-03-08 06:11 1,032,192 --------- c:\windows\system32\dllcache\ieframe.dll.mui
2008-12-09 23:04 . 2008-10-16 21:04 459,264 --------- c:\windows\system32\dllcache\msfeeds.dll
2008-12-09 23:04 . 2008-10-16 21:04 383,488 --------- c:\windows\system32\dllcache\ieapfltr.dll
2008-12-09 23:04 . 2008-10-16 21:04 267,776 --------- c:\windows\system32\dllcache\iertutil.dll
2008-12-09 23:04 . 2008-10-16 21:04 63,488 --------- c:\windows\system32\dllcache\icardie.dll
2008-12-09 23:04 . 2008-10-16 21:04 52,224 --------- c:\windows\system32\dllcache\msfeedsbs.dll
2008-12-09 23:04 . 2008-10-16 14:11 13,824 --------- c:\windows\system32\dllcache\ieudinit.exe
2008-12-09 23:00 . 2006-11-07 21:03 33,792 --a------ c:\windows\system32\dllcache\custsat.dll
2008-12-09 20:43 . 2008-12-11 17:19 69 --a------ c:\windows\NeroDigital.ini
2008-12-05 10:55 . 2008-12-12 23:45 8,627 --a------ c:\windows\system32\PAV_FOG.OPC
2008-12-05 09:37 . 2008-12-13 12:00 13,880 --a------ c:\windows\system32\drivers\COMFiltr.sys
2008-12-05 09:33 . 2008-12-05 09:33 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Backup
2008-12-05 09:33 . 2008-12-13 12:00 223,460 --a------ c:\windows\system32\drivers\APPFCONT.DAT.bck
2008-12-05 09:33 . 2008-12-13 12:00 223,460 --a------ c:\windows\system32\drivers\APPFCONT.DAT
2008-12-05 09:33 . 2008-06-18 16:06 193,792 --a------ c:\windows\system32\drivers\idsflt.sys
2008-12-05 09:33 . 2008-07-11 14:58 158,848 --a------ c:\windows\system32\drivers\NETFLTDI.SYS
2008-12-05 09:33 . 2008-04-28 16:35 84,024 --a------ c:\windows\system32\drivers\pavdrv51.sys
2008-12-05 09:33 . 2008-06-25 15:42 73,728 --a------ c:\windows\system32\drivers\APPFLT.SYS
2008-12-05 09:33 . 2008-06-18 16:06 52,992 --a------ c:\windows\system32\drivers\dsaflt.sys
2008-12-05 09:33 . 2008-06-18 16:06 46,720 --a------ c:\windows\system32\drivers\wnmflt.sys
2008-12-05 09:33 . 2008-03-28 11:25 22,072 --a------ c:\windows\system32\drivers\fnetmon.sys
2008-12-05 09:33 . 2008-12-13 12:00 1,132 --a------ c:\windows\system32\drivers\APPFLTR.CFG.bck
2008-12-05 09:33 . 2008-12-13 12:00 1,132 --a------ c:\windows\system32\drivers\APPFLTR.CFG
2008-12-05 09:33 . 2008-12-05 09:33 253 --a------ c:\windows\system32\PavCPL.dat
2008-12-05 09:32 . 2008-12-05 09:32 <DIR> d-------- c:\windows\system32\PAV
2008-12-05 09:32 . 2008-12-05 09:32 <DIR> d-------- c:\programmi\Panda Security
2008-12-05 09:32 . 2008-12-05 09:32 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\Panda Security
2008-12-05 09:32 . 2008-12-05 09:32 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Panda Security
2008-12-05 09:32 . 2008-06-18 18:03 520,448 --a------ c:\windows\system32\PavSHook.dll
2008-12-05 09:32 . 2003-10-22 18:23 446,464 --a------ c:\windows\system32\HHActiveX.dll
2008-12-05 09:32 . 2008-06-26 11:25 197,888 --a------ c:\windows\system32\drivers\neti1634.sys
2008-12-05 09:32 . 2008-06-24 14:48 193,280 --a------ c:\windows\system32\TpUtil.dll
2008-12-05 09:32 . 2007-02-08 11:53 107,568 --a------ c:\windows\system32\SYSTOOLS.DLL
2008-12-05 09:32 . 2008-06-18 18:03 87,296 --a------ c:\windows\system32\PavLspHook.dll
2008-12-05 09:32 . 2008-03-18 16:58 58,672 --a------ c:\windows\system32\avldr.dll
2008-12-05 09:32 . 2008-06-18 18:03 55,552 --a------ c:\windows\system32\pavipc.dll
2008-12-05 09:32 . 2007-03-15 19:38 54,832 --a------ c:\windows\system32\pavcpl.cpl
2008-12-05 09:31 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-12-05 09:29 . 2008-12-05 09:29 <DIR> d-------- c:\programmi\File comuni\Panda Security
2008-12-05 09:29 . 2008-02-07 11:03 179,640 --a------ c:\windows\system32\drivers\PavProc.sys
2008-12-05 09:29 . 2008-03-04 14:59 41,144 --a------ c:\windows\system32\drivers\ShlDrv51.sys
2008-12-05 09:16 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2008-12-05 09:15 . 2008-12-05 09:15 <DIR> d-------- c:\programmi\MSBuild
2008-12-05 09:15 . 2008-12-05 09:15 <DIR> d-------- c:\programmi\Microsoft Works
2008-12-05 09:14 . 2008-12-05 09:14 <DIR> d-------- c:\programmi\Microsoft.NET
2008-12-05 09:12 . 2008-12-05 09:12 <DIR> d-------- c:\programmi\Microsoft Visual Studio 8
2008-12-05 09:11 . 2008-12-05 09:11 <DIR> d-------- c:\windows\SHELLNEW
2008-12-05 08:55 . 2008-12-05 08:55 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\CyberLink
2008-12-05 08:51 . 2008-12-05 08:51 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2008-12-05 08:50 . 2008-12-05 08:51 <DIR> dr-h----- C:\MSOCache
2008-12-05 08:44 . 2004-08-03 23:08 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys
2008-12-05 08:42 . 2008-12-05 08:42 <DIR> d-------- c:\programmi\File comuni\LightScribe
2008-12-05 08:42 . 2005-06-27 11:07 2,957,312 --------- c:\windows\UNNMP.exe
2008-12-05 08:42 . 2005-07-22 15:00 49,870 --------- c:\windows\UNNMP.cfg
2008-12-05 08:40 . 2008-12-05 08:40 <DIR> d-------- c:\programmi\File comuni\Nero
2008-12-05 08:39 . 2005-07-19 16:27 2,973,696 --------- c:\windows\UNNeroVision.exe
2008-12-05 08:39 . 2005-07-22 15:00 170,612 --------- c:\windows\UNNeroVision.cfg
2008-12-05 08:39 . 2001-03-08 19:30 24,064 --------- c:\windows\system32\msxml3a.dll
2008-12-05 08:38 . 2008-12-05 08:38 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Ahead
2008-12-05 08:26 . 2008-12-05 08:26 546 --a------ c:\windows\system32\ABA6JC.DAT
2008-12-05 08:25 . 2006-06-20 13:46 <DIR> d-------- c:\documents and settings\Marcolino\WINDOWS
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> d--h----- c:\documents and settings\Marcolino\Risorse di stampa
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> d--h----- c:\documents and settings\Marcolino\Risorse di rete
2008-12-05 08:25 . 2008-12-05 08:26 <DIR> dr------- c:\documents and settings\Marcolino\Preferiti
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> d--h----- c:\documents and settings\Marcolino\Modelli
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> dr------- c:\documents and settings\Marcolino\Menu Avvio
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> d--h----- c:\documents and settings\Marcolino\Impostazioni locali
2008-12-05 08:25 . 2008-12-10 12:15 <DIR> dr------- c:\documents and settings\Marcolino\Documenti
2008-12-05 08:25 . 2006-06-20 13:56 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\Symantec
2008-12-05 08:25 . 2006-06-20 14:02 <DIR> d-------- c:\documents and settings\Marcolino\Dati applicazioni\Intel
2008-12-05 08:25 . 2006-06-20 13:24 <DIR> dr-h----- c:\documents and settings\Marcolino\Dati applicazioni
2008-12-05 08:25 . 2008-12-05 08:25 <DIR> d-------- c:\documents and settings\Marcolino
2008-12-05 08:24 . 2006-06-20 13:46 <DIR> d-------- c:\windows\system32\config\systemprofile\WINDOWS
2008-12-05 08:24 . 2006-06-20 13:56 <DIR> d-------- c:\windows\system32\config\systemprofile\Dati applicazioni\Symantec
2008-12-05 08:24 . 2006-06-20 13:46 <DIR> d-------- c:\documents and settings\Default User\WINDOWS
2008-12-05 08:20 . 2008-12-05 08:20 8,192 --a------ c:\windows\REGLOCS.OLD

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 17:32 2,109,440 ------w c:\windows\system32\dllcache\WMVCore.dll
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:59 283,648 ------w c:\windows\system32\dllcache\gdi32.dll
2008-10-17 00:34 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll
2008-10-16 13:13 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:07 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 07:06 633,632 ------w c:\windows\system32\dllcache\iexplore.exe
2008-10-15 07:04 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-10-03 10:15 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:38 1,846,016 ----a-w c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-11-10 102400]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-21 7335936]
"ASUS Live Update"="c:\programmi\ASUS\ASUS Live Update\ALU.exe" [2005-11-02 180224]
"Power_Gear"="c:\programmi\ASUS\Power4 Gear\BatteryLife.exe" [2005-10-05 86016]
"Wireless Console 2"="c:\programmi\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RemoteControl"="c:\programmi\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]
"EOUApp"="c:\programmi\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 569413]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"APVXDWIN"="c:\programmi\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE" [2008-10-22 869632]
"SCANINICIO"="c:\programmi\Panda Security\Panda Internet Security 2009\Inicio.exe" [2008-07-07 50432]
"nwiz"="nwiz.exe" [2005-11-21 c:\windows\system32\nwiz.exe]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 c:\windows\sm56hlpr.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
ASUS ChkMail.lnk - c:\programmi\Asus\Asus ChkMail\ChkMail.exe [2006-06-20 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 16:58 58672 c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= sysaudio.sys

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\groove.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Messenger\\MSMSGS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

R0 pavboot;Panda boot driver;c:\windows\system32\Drivers\pavboot.sys [2008-12-05 28544]
R1 APPFLT;App Filter Plugin;\??\c:\windows\system32\Drivers\APPFLT.SYS [2008-12-05 73728]
R1 DSAFLT;DSA Filter Plugin;\??\c:\windows\system32\Drivers\DSAFLT.SYS [2008-12-05 52992]
R1 FNETMON;NetMon Filter Plugin;\??\c:\windows\system32\Drivers\fnetmon.SYS [2008-12-05 22072]
R1 IDSFLT;Ids Filter Plugin;\??\c:\windows\system32\Drivers\IDSFLT.SYS [2008-12-05 193792]
R1 NETFLTDI;Panda Net Driver [TDI Layer];\??\c:\windows\system32\Drivers\NETFLTDI.SYS [2008-12-05 09:33:13 158848]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [2008-12-05 41144]
R1 WNMFLT;Wifi Monitor Filter Plugin;\??\c:\windows\system32\Drivers\WNMFLT.SYS [2008-12-05 46720]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda []
R2 PavProc;Panda Process Protection Driver;\??\c:\windows\system32\DRIVERS\PavProc.sys [2008-12-05 179640]
R2 PskSvcRetail;Panda PSK service;"c:\programmi\Panda Security\Panda Internet Security 2009\PskSvc.exe" [2008-12-05 28928]
R3 ComFiltr;Panda Anti-Dialer;\??\c:\windows\system32\DRIVERS\COMFiltr.sys [2008-12-05 13880]
R3 NETIMFLT01060034;PANDA NDIS IM Filter Miniport v1.6.0.34;c:\windows\system32\DRIVERS\neti1634.sys [2008-12-05 197888]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys []
S2 fkevzj;fkevzj;c:\windows\system32\svchost.exe -k netsvcs [2004-09-16 14336]
S2 hwhcv;hwhcv;c:\windows\system32\svchost.exe -k netsvcs [2004-09-16 14336]
S2 xeqhvvf;xeqhvvf;c:\windows\system32\svchost.exe -k netsvcs [2004-09-16 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda REG_MULTI_SZ Gwmsrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
xeqhvvf
hwhcv
fkevzj

*Newly Created Service* - GMER
*Newly Created Service* - PROCEXP90
*Newly Created Service* - PSEXESVC
.
.
------- Supplementare di scansione -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {A04DE320-9BD5-46E4-9563-1EC9D5B873E5} = 85.37.17.46 85.38.28.84
.
.
------- Associazioni di file -------
.
JSEFile=c:\progra~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %*
VBEFile=c:\progra~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %*
VBSFile=c:\progra~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %*
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-13 12:49:38
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(1420)
c:\windows\system32\avldr.dll
.
Ora fine scansione: 2008-12-13 12.51.01
ComboFix-quarantined-files.txt 2008-12-13 11:50:58

Pre-Run: 69.121.507.328 byte disponibili
Post-Run: 69,653,266,432 byte disponibili

268 --- E O F --- 2008-12-12 14:27:03


dunque io ho provato a cercare questi due files:

1) c:\windows\system32\ntnet.drv
2) c:\windows\system32\sysaudio.sys

però ovviamente (siccome sono sfigatissimo) non ci sono!!! o sono nascosti benissimo ed io non li trovo!!!

secondo voi che posso fare???

ho usato anche AD-WARE ieri. ho rilevato e disinfettato 18 file infetti ma nulla da fare... il problema persiste...

grazie mille per l'aiuto!!!

ciao [;)]
Avatar utente
DAS
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: sab dic 13, 2008 1:10 pm

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda ste_95 » sab dic 13, 2008 3:14 pm

Il problema si verifica ancora?
Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda Amantide » sab dic 13, 2008 5:32 pm

dunque io ho provato a cercare questi due files:

1) c:\windows\system32\ntnet.drv
2) c:\windows\system32\sysaudio.sys

però ovviamente (siccome sono sfigatissimo) non ci sono!!! o sono nascosti benissimo ed io non li trovo!!!

Non li trovi perché sono stati già eliminati da Combofix.

Ci sono un po' di servizi anomali che si sono iniettati in svchost.exe

Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
File::
c:\windows\REGLOCS.OLD

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= -

Driver::
fkevzj
hwhcv
xeqhvvf
aux2

Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.

P.S. Il report della scansione con Kaspersky online sarebbe comunque utile.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Hijacker che blocca aggiornamento antivirus

Messaggioda DAS » sab dic 13, 2008 7:53 pm

ragazzi grazie mille ma ho risolto. è vero, non li trovavo perché combofix li aveva eliminati, però ho dovuto riavviare il pc per non avere più il problema!!! ora tutto ok!!! la velocità è tornata normale e google funziona bene!!!
mi chiedo solo come sia stato possibile prendere questo virus, dato che con PANDA non ho mai avuto problemi sul fisso... mai un virus... invece sul portatile avevo Avast e i virus li ha presi e come... ora anche sul portatile il tecnico mi ha messo Panda2009 però mi è capitato questo inconveniente. Ma dite che non dipende dall'antivirus? potrei riprenderlo? che mi consigliate?

comunque vorrei di nuovo ringraziarvi perché senza il vostro aiuto non avrei risolto e avrei speso altri soldi dal tecnico per riformattare di nuovo!!!

ciao ciao [;)]
Avatar utente
DAS
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: sab dic 13, 2008 1:10 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising