Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

molti trojan da debellare!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

molti trojan da debellare!

Messaggioda Thierry1989 » gio nov 27, 2008 6:07 pm

CIAO. ho un pc di un amica infestata da trojan. ne ha presi un bel po'. il pc si impalla spesso, si aprono finestre di pubblicità da sole e facendo scansioni con Kaspersky 2009, a2squared e spybot mi ha trovato un sacco di trojan. purtropppo non sono riuscito a rimuoverli tutti...che faccio??
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda enea83 » gio nov 27, 2008 6:14 pm

scansiona con malwarebytes e superantispyware, entrambi free e i migliori nello specifico...
ricorda di aggiornarli prima di fare le scansioni, ed attento soprattutto con malwarebytes ad eventuali falsi positivi [;)]
Nella vita gli esami non finiscono mai... e se finissero... preoccupati...
Avatar utente
enea83
Senior Member
Senior Member
 
Messaggi: 296
Iscritto il: sab ott 11, 2008 4:46 am
Località: lima

Re: molti trojan da debellare!

Messaggioda crazy.cat » gio nov 27, 2008 6:32 pm

Vediamo un log della scansione di hijackthis e magari anche di combofix.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Re: molti trojan da debellare!

Messaggioda SteelBolter » gio nov 27, 2008 8:11 pm

Anche se i trojan ormai stanno infestando tutto come se fossero degli spettri, ti consiglio di provare a fare un bel back-up di tutti i file importanti e poi elimanare gli eventuali trojan presenti nel back-up...

In questo modo, nel caso si dovesse ricorrere a una formattazione non perderebbe nessun file importante e ovviamente non verrebbero reintrodotti i trojan...

Se ne hai la possibiltà come supporto di back-up consiglierei un hard disk esterno!
DELL Dimension 8300 | Intel Pentium 4HT 2.80GHZ | 1.5 GB DDR400 | nVidia GeForce FX5200 128MB | Windows XP Home Edition SP3 |
Avatar utente
SteelBolter
Silver Member
Silver Member
 
Messaggi: 1110
Iscritto il: sab mag 26, 2007 8:04 pm

Re: molti trojan da debellare!

Messaggioda pollom » ven nov 28, 2008 7:27 pm

Salve a tutti,
prima di dovervi chiedere aiuto devo raccontarvi tutto dal principio.
Tempo fa un amico mi ha chiesto di passargli dei giochi che avevo sul pc, premetto che il mio pc credo sia pulito da virus, ho l'antivirus aggiornato periodicamente, scansioni varie periodiche non mi hanno mai fatto dubitare della pulizia del mio pc ma...! Prendo una penna usb (lettore mp3) praticamente nuova, usata solo per ascoltare radio e musica ma è stata usata solo una volta per trasferire la musica e basta. metto i giochini sulla penna e tutto bene.
Quando questo amico ha inserito la penna sul suo pc e ha cercato di trasferire i giochi gli è apparso un avviso del suo antvirus che segnalava un Troian sul file di un mio giochino...da li gli si impalla il pc e non riesce più ne a cancellare i giochini dalla penna e nemmeno a trasferirli.
torno a casa apro la penna guardo se è infestata da virus e non me ne segnala, per sicurezza butto sul cestino i giochini. fin qui tutto bene!
la settimana scorsa mentre ascoltavo la radio la penna si spegne, pensando fosse la batteria scarica gliela cambio, ma niente, la attacco al pc e il pc, sia il mio che un altro pc di casa non riconoscono la penna, quindi ora è inutilizzabile, perché non mi permette nemmeno di ripararla con il cd datomi in dotazione con l'acquisto della penna.

Cosa pensate che sia? è possibile che abbia virus? ma se non me la riconosce il pc come faccio a ripulirla? anche se precedentemente l'avevo sottoposta a scannerizzazione ma risultava pulita e per un bel po di tempo dal giorno dei giochini ha funzionato benissimo...non so cosa pensare e mi ritrovo con una penna nuova che non serve a nulla perché non funziona e in più ho il dubbio che il mio pc abbia virus...
il mio antivirus è NOD32 aggiornato regolarmente!
aiutatemi per favore...
che fare?
Avatar utente
pollom
Aficionado
Aficionado
 
Messaggi: 107
Iscritto il: sab lug 21, 2007 4:56 pm

Re: molti trojan da debellare!

Messaggioda enea83 » ven nov 28, 2008 8:16 pm

ciao pollom.. guarda.. :
il fatto che una periferica risulti ''pulita'' dal malware dopo una scansione non significa che lo sia realmente... (soprattutto se la scansioni con nod [std] )
ai tempi di AVS(active virus shield) per esempio; AVS del mio pc scovava troyan su di una pennetta usb che il bitdefender di un mio amico dava pulita...

al momento sono in sudamerica, e qui nod va molto di moda(come da noi il norton un po di tempo fa [:D] )... qui nod32 e' l' AV piu diffuso, lo usano diversi miei amici, parenti e tutti gli internetpoint.... ed ho quindi una buona casistica che mi permette di dirti con tranquillita' che nod continua a non essere affidabile... soprattutto la 2.7 ....

mooolto meglio una soluzione free come avira free +spywareterminator.
molto probabilmente il pc ormai e' infetto,ma dubito che sia grave... altrimenti i sintomi sarebbero altri,oltre alla pennetta usb che non funge(ammesso che sia un sintomo dell'infezione [std] )

per quanto riguarda l'infezione basta fare un po di scansioni con altri strumenti come combofix, avenger, malwarebytes ecc ecc ma qui sicuramente ti verranno in aiuto amantide , crazy o ste... [^]

per la pennetta; altre periferiche usb ti danno problemi su quella porta usb o e' solo la pennetta?
Nella vita gli esami non finiscono mai... e se finissero... preoccupati...
Avatar utente
enea83
Senior Member
Senior Member
 
Messaggi: 296
Iscritto il: sab ott 11, 2008 4:46 am
Località: lima

Re: molti trojan da debellare!

Messaggioda pollom » ven nov 28, 2008 8:35 pm

le porte usb funzionano perfettamente perché ho attaccato altre penne e funzionavano benissimo...
quindic che antivirus mi consigli di mettere che mando subito in pensione questo nod...
sono un po' ignorante in materia per cui avrei bisogno di un aiutino per verificare se il mio caro pc sia infetto...

Ps. quando ho tolto dalla penna quei giochini li ho tolti pure dal pc per sicurezza dopo mi sono scaricata Virit e lo ho avviato con il pc in modalità provvisoria e non mi ha segnalato virus...mi dava il pc pulito...
Avatar utente
pollom
Aficionado
Aficionado
 
Messaggi: 107
Iscritto il: sab lug 21, 2007 4:56 pm

Re: molti trojan da debellare!

Messaggioda enea83 » ven nov 28, 2008 11:14 pm

per quanto riguarda l'eventuale infezione io farei cosi:

per prima cosa mi assicurerei che il mio sistema sia libero da rootkit che nascondodno processi e file infetti falsando una scansione con un qualsiasi antimalware.

qui ti consiglio gmer antirootkit, strumento molto efficace che puoi utilizzare al meglio seguendo questa guidahttp://www.MegaLab.it/2675(dove trovi anche il link per scaricarlo [;)] )

una volta risolti eventuali problemi con gmer scarica, aggiorna e fai una scansione completa con malwarebytes(http://www.MegaLab.it/3634), e fai lo stesso con Kaspersky Virus Removal Tool( http://www.MegaLab.it/2894)

alla fine posta sul forum un log di hijackthis cosi qualcuno ci da un occhiata [;)]

ricorda che per qualsiasi rilevazione positiva devi usare la massima attenzione. non eliminare niente se non sei sicuro di cio che elimini, rischi di cancellare file necessari al sistema, rendendolo instabile o inchiodandolo... [std]
meglio googlare o chiedere qui sul forum.. [^]

per quanto riguarda il mandare in pensione nod... le alternative piu valide sono2:

free: avira free+spywareterminator(hips disattivato)+armor free FW+firefox aggiornato ed immunizzato con spybot.

a pagamento: kis2009+firefox aggiornato ed immunizzato con spybot.

a presto [:)]
Nella vita gli esami non finiscono mai... e se finissero... preoccupati...
Avatar utente
enea83
Senior Member
Senior Member
 
Messaggi: 296
Iscritto il: sab ott 11, 2008 4:46 am
Località: lima

Re: molti trojan da debellare!

Messaggioda Thierry1989 » sab nov 29, 2008 9:50 am

io ho fatto scansione e rimozione di ben 50 file infetti con malwarebytes e superantispyware...
ora kaspersky non trova più virus.
che faccio per controllare che tutto sia ok?? cioè di averli rimossi tutti??
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda pollom » dom nov 30, 2008 1:43 pm

Enea 83, ho fatto la scansione con gmer e mi ha evidenziato solo dello cose in nero, quindi presumo non ci sia da preoccuparsi... [boh]
per quanto riguarda la scansione con malwarebytes, ho letto le istruzioni ma da dove me la scarico la versione non completa? [uhm]

e per la pennina usb, credi che non ci sia più nulla da fare? non c'è speranza di farla funzionare di nuovo???
Avatar utente
pollom
Aficionado
Aficionado
 
Messaggi: 107
Iscritto il: sab lug 21, 2007 4:56 pm

Re: molti trojan da debellare!

Messaggioda crazy.cat » dom nov 30, 2008 2:46 pm

pollom ha scritto:ho letto le istruzioni ma da dove me la scarico la versione non completa?

Dagli indirizzi proposti nella pagina
http://www.malwarebytes.org/mbam.php
se non ti registri rimane non completa privata di alcune funzioni.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: molti trojan da debellare!

Messaggioda enea83 » dom nov 30, 2008 4:27 pm

per thierry

se hai fatto pulizia co antimalwarebytes e superanti spy dubito che sia rimasto niente di infetto(anche se prima di usarli io avrei fatto una bella scansione con un antirootkit specifico, dato che questa classe di malware e' in grado di nascondersi e nascondere altro malware nel sistema [std] )
comunque se dopo la pilizia con antimalwarebytes e superantispy anche kasp di dice che e' tutto apposto dovresti stare tranquillo... [std]
al massimo posta un log di hijackthis cosi qualcuno ci da un occhiata [;)]

per pollon

quelle preoccupanti sono le voci rosse(anchese quelle nere potrebbero essere in rari casi sintomo di infezione)
io procederei tranquillamente alla scansione con malwarebytes e poi kasp [std]
ricorda sempre di fare attenzione ai falsi positivi [std]

per la pennetta.... se ne sul tuo pc ne su altri da segni di vita e se neanche con il cd originale della pennetta riesci a ripristinarla penso che ci sia poco da fare... ci sono diversi strumenti per recuperare periferiche di questo genere in crisi , ma devono almeno dare un minimo segno di vita quando le colleghi... nel tuo caso la vedo dura..comunque puoi in alternativa:

1)postare in una sezione del forum dedicata ai problemi hardware.

2)continuare a googlare.. [boh]

3)recarti in un centro assistenza per vedere che ti dicono, e se magari la garanzia non e' scaduta fartene dare un'altra [std]

a presto [^]
Nella vita gli esami non finiscono mai... e se finissero... preoccupati...
Avatar utente
enea83
Senior Member
Senior Member
 
Messaggi: 296
Iscritto il: sab ott 11, 2008 4:46 am
Località: lima

Re: molti trojan da debellare!

Messaggioda Thierry1989 » dom nov 30, 2008 11:40 pm

c'è una guida su come fare la scansione con hijackthis?
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda enea83 » dom nov 30, 2008 11:58 pm

Thierry1989 ha scritto:c'è una guida su come fare la scansione con hijackthis?

http://www.MegaLab.it/2286 [std]
Nella vita gli esami non finiscono mai... e se finissero... preoccupati...
Avatar utente
enea83
Senior Member
Senior Member
 
Messaggi: 296
Iscritto il: sab ott 11, 2008 4:46 am
Località: lima

Re: molti trojan da debellare!

Messaggioda Thierry1989 » mar dic 02, 2008 5:22 pm

enea83 ha scritto:
Thierry1989 ha scritto:c'è una guida su come fare la scansione con hijackthis?

http://www.MegaLab.it/2286 [std]


ecco qui:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.20.52, on 02/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\Linksts.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Alice ti aiuta\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmi\Logitech\QuickCam\Quickcam.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Roberta & Alessandra\temp\TeamViewer3\TeamViewer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enterpage.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\Programmi\Alice ti aiuta\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [tupakulahe] Rundll32.exe "C:\WINDOWS\system32\bibegipe.dll",s (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Registrazione prodotti.lnk = C:\Programmi\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F03566-0A39-4568-864D-5DF49EDDB8D9}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{31F03566-0A39-4568-864D-5DF49EDDB8D9}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{31F03566-0A39-4568-864D-5DF49EDDB8D9}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll c:\windows\system32\mozulavo.dll c:\windows\system32\kabahigo.dll c:\windows\system32\muribabi.dll c:\windows\system32\bejamuge.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

--
End of file - 9354 bytes
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda Amantide » mar dic 02, 2008 5:59 pm

Ci sono un po' di schifezze in AppInit_DLLs

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto tramite il tag LOG (e non il Code).
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: molti trojan da debellare!

Messaggioda Thierry1989 » mar dic 02, 2008 8:41 pm

Amantide ha scritto:Ci sono un po' di schifezze in AppInit_DLLs

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto tramite il tag LOG (e non il Code).

scusa non sono pratico di log e code...
ecco il report della scansione con combofix:

ComboFix 08-12-01.03 - Roberta & Alessandra 2008-12-02 20.13.14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.564 [GMT 1:00]
Eseguito da: c:\documents and settings\Roberta & Alessandra\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
Error: Cfiles.dat

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ayewilus.ini
c:\windows\system32\edagasij.ini
c:\windows\system32\ofisiger.ini
c:\windows\system32\ubudiled.ini
c:\windows\system32\uyijegiy.ini

.
((((((((((((((((((((((((( Files Creati Da 2008-11-02 al 2008-12-02 )))))))))))))))))))))))))))))))))))
.

2008-12-02 17:20 . 2008-12-02 17:20 <DIR> d-------- c:\programmi\Trend Micro
2008-11-28 20:49 . 2008-11-28 20:52 <DIR> d-------- c:\programmi\SUPERAntiSpyware
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\Roberta & Alessandra\Dati applicazioni\SUPERAntiSpyware.com
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Malwarebytes
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2008-11-28 20:49 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-28 20:49 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-23 21:37 . 2008-11-23 21:37 <DIR> d-------- c:\programmi\CCleaner
2008-11-23 16:57 . 2008-12-02 20:04 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-11-23 16:51 . 2008-11-23 16:51 96,976 --a------ c:\windows\system32\drivers\klin.dat
2008-11-23 16:51 . 2008-11-23 16:51 87,855 --a------ c:\windows\system32\drivers\klick.dat
2008-11-23 16:50 . 2008-11-23 16:50 <DIR> d-------- c:\programmi\Kaspersky Lab
2008-11-23 16:50 . 2008-12-02 20:19 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2008-11-23 16:50 . 2008-12-02 20:17 2,960,416 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-23 16:50 . 2008-12-02 20:17 770,080 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2008-11-23 16:50 . 2008-12-02 20:17 25,256 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-23 16:50 . 2008-12-02 20:17 3,712 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2008-11-23 16:45 . 2008-11-23 16:59 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2008-11-23 16:43 . 2008-11-25 19:30 <DIR> d-------- c:\programmi\a-squared Free
2008-11-20 21:16 . 2008-11-20 21:16 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-17 14:16 . 2008-07-26 16:23 195,096 --a------ c:\windows\system32\lvci11801048.dll
2008-11-17 14:13 . 2008-11-17 14:13 <DIR> d-------- c:\programmi\Logitech
2008-11-12 11:25 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 11:25 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-11 15:06 . 2008-11-11 15:06 22,368 --a------ c:\documents and settings\Roberta & Alessandra\lillrjmv.exe
2008-11-11 15:05 . 2008-11-11 15:05 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ymtcirgd.exe
2008-11-11 15:04 . 2008-11-11 15:04 22,368 --a------ c:\documents and settings\Roberta & Alessandra\nldefrit.exe
2008-11-11 15:03 . 2008-11-11 15:03 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ihlenzzr.exe
2008-11-11 15:02 . 2008-11-11 15:02 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xzflcnng.exe
2008-11-11 15:00 . 2008-11-11 15:00 22,368 --a------ c:\documents and settings\Roberta & Alessandra\aqiiuwxm.exe
2008-11-11 14:59 . 2008-11-11 14:59 22,368 --a------ c:\documents and settings\Roberta & Alessandra\cgwrciav.exe
2008-11-11 14:58 . 2008-11-11 14:58 22,368 --a------ c:\documents and settings\Roberta & Alessandra\tkdmijpe.exe
2008-11-11 14:55 . 2008-11-11 14:55 22,368 --a------ c:\documents and settings\Roberta & Alessandra\aubdyiph.exe
2008-11-11 14:54 . 2008-11-11 14:54 22,368 --a------ c:\documents and settings\Roberta & Alessandra\hwmwaspu.exe
2008-11-11 14:53 . 2008-11-11 14:53 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xpesdwry.exe
2008-11-11 14:52 . 2008-11-11 14:52 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xwnjuaze.exe
2008-11-11 14:50 . 2008-11-11 14:50 22,368 --a------ c:\documents and settings\Roberta & Alessandra\jyugmzll.exe
2008-11-11 14:49 . 2008-11-11 14:49 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xbepsjxw.exe
2008-11-11 14:48 . 2008-11-11 14:48 22,368 --a------ c:\documents and settings\Roberta & Alessandra\zeklfxhh.exe
2008-11-11 14:47 . 2008-11-11 14:47 22,368 --a------ c:\documents and settings\Roberta & Alessandra\nncjeykh.exe
2008-11-11 14:46 . 2008-11-11 14:46 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ifqaswdp.exe
2008-11-11 14:45 . 2008-11-11 14:45 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ubomxqtc.exe
2008-11-11 14:44 . 2008-11-11 14:44 22,368 --a------ c:\documents and settings\Roberta & Alessandra\yqvnwhfb.exe
2008-11-11 14:43 . 2008-11-11 14:43 22,368 --a------ c:\documents and settings\Roberta & Alessandra\dfjptybd.exe
2008-11-11 14:42 . 2008-11-11 14:42 22,368 --a------ c:\documents and settings\Roberta & Alessandra\zrkoaaaw.exe
2008-11-11 14:40 . 2008-11-11 14:40 22,368 --a------ c:\documents and settings\Roberta & Alessandra\rcyiowqr.exe
2008-11-11 14:39 . 2008-11-11 14:39 22,368 --a------ c:\documents and settings\Roberta & Alessandra\jctjsjer.exe
2008-11-11 14:38 . 2008-11-11 14:38 22,368 --a------ c:\documents and settings\Roberta & Alessandra\hnetsogy.exe
2008-11-11 14:37 . 2008-11-11 14:37 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ofnfvmyy.exe
2008-11-11 14:36 . 2008-11-11 14:36 22,368 --a------ c:\documents and settings\Roberta & Alessandra\oabwrvrw.exe
2008-11-11 14:35 . 2008-11-11 14:35 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ijwwpqoa.exe
2008-11-11 14:34 . 2008-11-11 14:34 22,368 --a------ c:\documents and settings\Roberta & Alessandra\erzmghqp.exe
2008-11-11 14:33 . 2008-11-11 14:33 22,368 --a------ c:\documents and settings\Roberta & Alessandra\zzqqwguq.exe
2008-11-11 14:32 . 2008-11-11 14:32 22,368 --a------ c:\documents and settings\Roberta & Alessandra\kdlfdjgu.exe
2008-11-11 14:31 . 2008-11-11 14:31 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xrvgprzf.exe
2008-11-11 14:30 . 2008-11-11 14:30 22,368 --a------ c:\documents and settings\Roberta & Alessandra\exntrbxu.exe
2008-11-11 14:29 . 2008-11-11 14:29 22,368 --a------ c:\documents and settings\Roberta & Alessandra\vfdohdxo.exe
2008-11-11 14:28 . 2008-11-11 14:28 22,368 --a------ c:\documents and settings\Roberta & Alessandra\xrljhrpu.exe
2008-11-11 14:27 . 2008-11-11 14:27 22,368 --a------ c:\documents and settings\Roberta & Alessandra\jofjrlck.exe
2008-11-11 14:26 . 2008-11-11 14:26 22,368 --a------ c:\documents and settings\Roberta & Alessandra\dvsqzyqn.exe
2008-11-11 14:25 . 2008-11-11 14:25 22,368 --a------ c:\documents and settings\Roberta & Alessandra\iljgmegf.exe
2008-11-11 14:23 . 2008-11-11 14:23 22,368 --a------ c:\documents and settings\Roberta & Alessandra\wjcfmkyd.exe
2008-11-11 14:22 . 2008-11-11 14:22 22,368 --a------ c:\documents and settings\Roberta & Alessandra\ggicgksa.exe
2008-11-09 22:41 . 2008-11-09 22:41 22,368 --a------ c:\documents and settings\Roberta & Alessandra\jvzhltrw.exe
2008-11-09 14:30 . 2008-11-09 14:30 <DIR> d-------- c:\programmi\ACID MULTI CAKE

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-02 14:53 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2008-12-02 14:53 0 ----a-w c:\windows\system32\drivers\logiflt.iad
2008-11-30 22:10 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Skype
2008-11-30 17:01 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\skypePM
2008-11-29 00:35 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\ACID MULTI CAKE
2008-11-28 19:48 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2008-11-24 19:36 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Proxy Long Chin Ping
2008-11-23 20:46 --------- d-----w c:\programmi\Windows Live Toolbar
2008-11-23 15:21 --------- d-----w c:\programmi\COMODO
2008-11-23 15:21 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Comodo
2008-11-17 23:04 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Motive
2008-11-17 13:18 --------- d-----w c:\programmi\File comuni\LogiShrd
2008-11-17 13:13 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Logishrd
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-12 19:25 --------- d-----w c:\programmi\iTunes
2008-10-12 19:25 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-12 19:24 --------- d-----w c:\programmi\iPod
2008-10-10 22:50 --------- d-----w c:\programmi\eMule
2008-10-07 14:33 --------- d-----w c:\programmi\Skype
2008-10-07 14:33 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Skype
2008-10-07 14:32 --------- d-----w c:\programmi\File comuni\Skype
2008-10-07 14:29 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\TeamViewer
2008-10-07 13:43 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Logitech
2008-10-06 11:39 --------- d-----w c:\programmi\MSN Messenger
2008-10-05 18:08 --------- d-----w c:\programmi\Circle Developement
2008-10-05 17:33 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\TuneUp Software
2008-10-05 11:21 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Office Genuine Advantage
2008-10-04 22:45 --------- d-----w c:\programmi\Java
2008-10-04 22:38 --------- d-----w c:\programmi\Avira
2008-10-03 19:06 --------- d-----w c:\programmi\ACIDMU~4
2008-10-02 11:10 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Apple Computer
2008-04-17 14:11 94,208 ----a-w c:\documents and settings\Roberta & Alessandra\Controls.dll
2008-04-17 14:11 61,440 ----a-w c:\documents and settings\Roberta & Alessandra\BurracoWebUpdater2.exe
2008-04-17 14:11 380,928 ----a-w c:\documents and settings\Roberta & Alessandra\BurracoWebClient.exe
2008-04-17 14:11 258,048 ----a-w c:\documents and settings\Roberta & Alessandra\ArdaSoftware.GameManagement.dll
2008-04-17 14:11 200,704 ----a-w c:\documents and settings\Roberta & Alessandra\NetDevelop.dll
2008-04-17 14:11 131,072 ----a-w c:\documents and settings\Roberta & Alessandra\ArdaSoftware.CommunicationLayer.dll
2007-03-23 18:31 71,320 ----a-w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\GDIPFONTCACHEV1.DAT
2007-02-11 13:54 335,872 ----a-w c:\documents and settings\Roberta & Alessandra\PokerCards.dll
2005-11-11 18:37 12,991,481 ----a-w c:\programmi\DirectX.cab
2004-07-19 21:58 1,156,363 ----a-w c:\programmi\BDANT.cab
2004-07-19 21:53 976,020 ----a-w c:\programmi\BDAXP.cab
2004-07-09 08:13 703,080 ----a-w c:\programmi\BDA.cab
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-11-17 1805552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"Adobe Photo Downloader"="c:\programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-07 57344]
"AliceRE_McciTrayApp"="c:\programmi\Alice ti aiuta\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe" [2006-11-21 936960]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"LogitechCommunicationsManager"="c:\programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programmi\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 206088]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]
"ISDN Monitor"="Linksts.exe" [2000-06-02 c:\windows\system32\linksts.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

c:\documents and settings\Roberta & Alessandra\Menu Avvio\Programmi\Esecuzione automatica\
Logitech . Registrazione prodotti.lnk - c:\programmi\Logitech\QuickCam\eReg.exe [2008-02-13 493832]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-03-04 217088]
Avvio rapido di HP Image Zone.lnk - c:\programmi\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 15:28 352256 c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Documents and Settings\\Roberta & Alessandra\\Desktop\\utorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\iPod\\bin\\iPodService.exe"=
"c:\\Programmi\\File comuni\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe"=
"c:\\Programmi\\MSN Messenger\\usnsvc.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 isdnlink;isdnlink;c:\windows\system32\DRIVERS\linkisdn.sys [2005-11-20 646795]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 SASDIFSV;SASDIFSV;\??\c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [2008-11-17 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\programmi\SUPERAntiSpyware\SASKUTIL.sys [2008-11-17 55024]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 SASENUM;SASENUM;\??\c:\programmi\SUPERAntiSpyware\SASENUM.SYS [2008-11-17 7408]
S3 LVRS;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs.sys [2008-10-07 627864]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\c:\windows\system32\NSNDIS5.SYS []
S3 vmdmc;Intelligent VComm+ Port Driver;c:\windows\system32\DRIVERS\vmdmc.sys []
S3 wanlink;wanlink;c:\windows\system32\DRIVERS\wanlink.sys [2005-11-20 61320]
S4 hpt3xx;hpt3xx; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{509e105b-27ee-11dd-8b0a-0013d455129e}]
\Shell\auto\command - F:\Knight.exe open
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - F:\Knight.exe open
\Shell\find\command - F:\Knight.exe open
\Shell\install\command - F:\Knight.exe open
\Shell\open\command - F:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66de6970-e995-11db-9924-0013d455129e}]
\Shell\AutoRun\command - f:\.\run\autorun.exe
\Shell\open\Command - f:\.\run\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1144f76-f0d9-11db-994b-0013d455129e}]
\Shell\AutoRun\command - f:\.\run\autorun.exe
\Shell\open\Command - f:\.\run\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a78e02ca-3ce3-11db-a04f-0013d455129e}]
\Shell\AutoRun\command - f:\jdsecure\Windows\JDSecure31.exe
.
Contenuto della cartella 'Scheduled Tasks'

2008-12-02 c:\windows\Tasks\AA8EA8F391895C47.job
- c:\docume~1\robert~1\datiap~1\acidmu~1\Readme Spam Bib.exe []

2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-11-28 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2008-12-02 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2008-12-02 c:\windows\Tasks\Verifica e correzione automatica.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe []
.
.
------- Supplementare di scansione -------
.
FireFox -: Profile - c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Mozilla\Firefox\Profiles\ojbwyyfw.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.it/ig?hl=it|http://by ... 1&ref=name
FF -: plugin - c:\programmi\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 20:18:37
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(7880)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\progra~1\ALICET~1\SMARTB~1\SBHook.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\a-squared Free\a2service.exe
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
c:\programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\UStorSrv.exe
c:\programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
c:\programmi\iPod\bin\iPodService.exe
c:\programmi\File comuni\LogiShrd\LQCVFX\COCIManager.exe
c:\programmi\HP\Digital Imaging\bin\hpqimzone.exe
c:\programmi\HP\Digital Imaging\bin\hpqste08.exe
c:\programmi\Skype\Phone\Skype.exe
c:\programmi\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Ora fine scansione: 2008-12-02 20:28:05 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-12-02 19:22:58

Pre-Run: 51.586.367.488 byte disponibili
Post-Run: 51,483,344,896 byte disponibili

295 --- E O F --- 2008-11-17 13:05:40

beh che altro devo fare??
rifaccio il log con hijackthis??
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda Amantide » mar dic 02, 2008 9:57 pm

Prima di tutto inserisci nel pc la periferica che di solito ti assume la letterea F:\ , potrebbe essere una pen drive.

Ora copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
File::
c:\documents and settings\Roberta & Alessandra\lillrjmv.exe
c:\documents and settings\Roberta & Alessandra\ymtcirgd.exe
c:\documents and settings\Roberta & Alessandra\nldefrit.exe
c:\documents and settings\Roberta & Alessandra\ihlenzzr.exe
c:\documents and settings\Roberta & Alessandra\xzflcnng.exe
c:\documents and settings\Roberta & Alessandra\aqiiuwxm.exe
c:\documents and settings\Roberta & Alessandra\cgwrciav.exe
c:\documents and settings\Roberta & Alessandra\tkdmijpe.exe
c:\documents and settings\Roberta & Alessandra\aubdyiph.exe
c:\documents and settings\Roberta & Alessandra\hwmwaspu.exe
c:\documents and settings\Roberta & Alessandra\xpesdwry.exe
c:\documents and settings\Roberta & Alessandra\xwnjuaze.exe
c:\documents and settings\Roberta & Alessandra\jyugmzll.exe
c:\documents and settings\Roberta & Alessandra\xbepsjxw.exe
c:\documents and settings\Roberta & Alessandra\zeklfxhh.exe
c:\documents and settings\Roberta & Alessandra\nncjeykh.exe
c:\documents and settings\Roberta & Alessandra\ifqaswdp.exe
c:\documents and settings\Roberta & Alessandra\ubomxqtc.exe
c:\documents and settings\Roberta & Alessandra\yqvnwhfb.exe
c:\documents and settings\Roberta & Alessandra\dfjptybd.exe
c:\documents and settings\Roberta & Alessandra\zrkoaaaw.exe
c:\documents and settings\Roberta & Alessandra\rcyiowqr.exe
c:\documents and settings\Roberta & Alessandra\jctjsjer.exe
c:\documents and settings\Roberta & Alessandra\hnetsogy.exe
c:\documents and settings\Roberta & Alessandra\ofnfvmyy.exe
c:\documents and settings\Roberta & Alessandra\oabwrvrw.exe
c:\documents and settings\Roberta & Alessandra\ijwwpqoa.exe
c:\documents and settings\Roberta & Alessandra\erzmghqp.exe
c:\documents and settings\Roberta & Alessandra\zzqqwguq.exe
c:\documents and settings\Roberta & Alessandra\kdlfdjgu.exe
c:\documents and settings\Roberta & Alessandra\xrvgprzf.exe
c:\documents and settings\Roberta & Alessandra\exntrbxu.exe
c:\documents and settings\Roberta & Alessandra\vfdohdxo.exe
c:\documents and settings\Roberta & Alessandra\xrljhrpu.exe
c:\documents and settings\Roberta & Alessandra\jofjrlck.exe
c:\documents and settings\Roberta & Alessandra\dvsqzyqn.exe
c:\documents and settings\Roberta & Alessandra\iljgmegf.exe
c:\documents and settings\Roberta & Alessandra\wjcfmkyd.exe
c:\documents and settings\Roberta & Alessandra\ggicgksa.exe
c:\documents and settings\Roberta & Alessandra\jvzhltrw.exe
c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\drivers\logiflt.iad
c:\documents and settings\Roberta & Alessandra\NetDevelop.dll
c:\documents and settings\Roberta & Alessandra\ArdaSoftware.GameManagement.dll
c:\documents and settings\Roberta & Alessandra\BurracoWebClient.exe
c:\documents and settings\Roberta & Alessandra\BurracoWebUpdater2.exe
c:\documents and settings\Roberta & Alessandra\Controls.dll
c:\documents and settings\Roberta & Alessandra\PokerCards.dll
F:\Knight.exe
f:\.\run\autorun.exe
c:\windows\Tasks\AA8EA8F391895C47.job

Folder::
c:\documents and settings\All Users\Dati applicazioni\Proxy Long Chin Ping
c:\documents and settings\Roberta & Alessandra\Dati applicazioni\ACID MULTI CAKE
c:\programmi\ACID MULTI CAKE

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{509e105b-27ee-11dd-8b0a-0013d455129e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66de6970-e995-11db-9924-0013d455129e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1144f76-f0d9-11db-994b-0013d455129e}]


Trascina il file CFScript.txt sull'icona di Combofix.exe ed aspetta il termine della scansione. Posta il nuovo log di Combofix.

Dopo aver eseguito questo script con Combofix, inserisci tutte le periferiche esterne come pen drive, hard disk esterni, memory card, lettori mp3 e macchinette fotografiche che colleghi solitamente al pc ed esegui la scansione con Perlovga Removal Tool, possibilmente dalla modalità provvisoria (F8 all'avvio).
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: molti trojan da debellare!

Messaggioda Thierry1989 » mer dic 03, 2008 6:27 pm

ComboFix 08-12-01.03 - Roberta & Alessandra 2008-12-03 18.14.32.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.551 [GMT 1:00]
Eseguito da: c:\documents and settings\Roberta & Alessandra\Desktop\ComboFix.exe
Interruttori di comando utilizzati :: c:\documents and settings\Roberta & Alessandra\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::
c:\documents and settings\Roberta & Alessandra\aqiiuwxm.exe
c:\documents and settings\Roberta & Alessandra\ArdaSoftware.GameManagement.dll
c:\documents and settings\Roberta & Alessandra\aubdyiph.exe
c:\documents and settings\Roberta & Alessandra\BurracoWebClient.exe
c:\documents and settings\Roberta & Alessandra\BurracoWebUpdater2.exe
c:\documents and settings\Roberta & Alessandra\cgwrciav.exe
c:\documents and settings\Roberta & Alessandra\Controls.dll
c:\documents and settings\Roberta & Alessandra\dfjptybd.exe
c:\documents and settings\Roberta & Alessandra\dvsqzyqn.exe
c:\documents and settings\Roberta & Alessandra\erzmghqp.exe
c:\documents and settings\Roberta & Alessandra\exntrbxu.exe
c:\documents and settings\Roberta & Alessandra\ggicgksa.exe
c:\documents and settings\Roberta & Alessandra\hnetsogy.exe
c:\documents and settings\Roberta & Alessandra\hwmwaspu.exe
c:\documents and settings\Roberta & Alessandra\ifqaswdp.exe
c:\documents and settings\Roberta & Alessandra\ihlenzzr.exe
c:\documents and settings\Roberta & Alessandra\ijwwpqoa.exe
c:\documents and settings\Roberta & Alessandra\iljgmegf.exe
c:\documents and settings\Roberta & Alessandra\jctjsjer.exe
c:\documents and settings\Roberta & Alessandra\jofjrlck.exe
c:\documents and settings\Roberta & Alessandra\jvzhltrw.exe
c:\documents and settings\Roberta & Alessandra\jyugmzll.exe
c:\documents and settings\Roberta & Alessandra\kdlfdjgu.exe
c:\documents and settings\Roberta & Alessandra\lillrjmv.exe
c:\documents and settings\Roberta & Alessandra\NetDevelop.dll
c:\documents and settings\Roberta & Alessandra\nldefrit.exe
c:\documents and settings\Roberta & Alessandra\nncjeykh.exe
c:\documents and settings\Roberta & Alessandra\oabwrvrw.exe
c:\documents and settings\Roberta & Alessandra\ofnfvmyy.exe
c:\documents and settings\Roberta & Alessandra\PokerCards.dll
c:\documents and settings\Roberta & Alessandra\rcyiowqr.exe
c:\documents and settings\Roberta & Alessandra\tkdmijpe.exe
c:\documents and settings\Roberta & Alessandra\ubomxqtc.exe
c:\documents and settings\Roberta & Alessandra\vfdohdxo.exe
c:\documents and settings\Roberta & Alessandra\wjcfmkyd.exe
c:\documents and settings\Roberta & Alessandra\xbepsjxw.exe
c:\documents and settings\Roberta & Alessandra\xpesdwry.exe
c:\documents and settings\Roberta & Alessandra\xrljhrpu.exe
c:\documents and settings\Roberta & Alessandra\xrvgprzf.exe
c:\documents and settings\Roberta & Alessandra\xwnjuaze.exe
c:\documents and settings\Roberta & Alessandra\xzflcnng.exe
c:\documents and settings\Roberta & Alessandra\ymtcirgd.exe
c:\documents and settings\Roberta & Alessandra\yqvnwhfb.exe
c:\documents and settings\Roberta & Alessandra\zeklfxhh.exe
c:\documents and settings\Roberta & Alessandra\zrkoaaaw.exe
c:\documents and settings\Roberta & Alessandra\zzqqwguq.exe
c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs
c:\windows\Tasks\AA8EA8F391895C47.job
f:\.\run\autorun.exe
F:\Knight.exe
.
Error: Cfiles.dat

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Dati applicazioni\Proxy Long Chin Ping
c:\documents and settings\Roberta & Alessandra\aqiiuwxm.exe
c:\documents and settings\Roberta & Alessandra\ArdaSoftware.GameManagement.dll
c:\documents and settings\Roberta & Alessandra\aubdyiph.exe
c:\documents and settings\Roberta & Alessandra\BurracoWebClient.exe
c:\documents and settings\Roberta & Alessandra\BurracoWebUpdater2.exe
c:\documents and settings\Roberta & Alessandra\cgwrciav.exe
c:\documents and settings\Roberta & Alessandra\Controls.dll
c:\documents and settings\Roberta & Alessandra\Dati applicazioni\ACID MULTI CAKE
c:\documents and settings\Roberta & Alessandra\Dati applicazioni\ACID MULTI CAKE\0
c:\documents and settings\Roberta & Alessandra\Dati applicazioni\ACID MULTI CAKE\DD056BBE
c:\documents and settings\Roberta & Alessandra\dfjptybd.exe
c:\documents and settings\Roberta & Alessandra\dvsqzyqn.exe
c:\documents and settings\Roberta & Alessandra\erzmghqp.exe
c:\documents and settings\Roberta & Alessandra\exntrbxu.exe
c:\documents and settings\Roberta & Alessandra\ggicgksa.exe
c:\documents and settings\Roberta & Alessandra\hnetsogy.exe
c:\documents and settings\Roberta & Alessandra\hwmwaspu.exe
c:\documents and settings\Roberta & Alessandra\ifqaswdp.exe
c:\documents and settings\Roberta & Alessandra\ihlenzzr.exe
c:\documents and settings\Roberta & Alessandra\ijwwpqoa.exe
c:\documents and settings\Roberta & Alessandra\iljgmegf.exe
c:\documents and settings\Roberta & Alessandra\jctjsjer.exe
c:\documents and settings\Roberta & Alessandra\jofjrlck.exe
c:\documents and settings\Roberta & Alessandra\jvzhltrw.exe
c:\documents and settings\Roberta & Alessandra\jyugmzll.exe
c:\documents and settings\Roberta & Alessandra\kdlfdjgu.exe
c:\documents and settings\Roberta & Alessandra\lillrjmv.exe
c:\documents and settings\Roberta & Alessandra\NetDevelop.dll
c:\documents and settings\Roberta & Alessandra\nldefrit.exe
c:\documents and settings\Roberta & Alessandra\nncjeykh.exe
c:\documents and settings\Roberta & Alessandra\oabwrvrw.exe
c:\documents and settings\Roberta & Alessandra\ofnfvmyy.exe
c:\documents and settings\Roberta & Alessandra\PokerCards.dll
c:\documents and settings\Roberta & Alessandra\rcyiowqr.exe
c:\documents and settings\Roberta & Alessandra\tkdmijpe.exe
c:\documents and settings\Roberta & Alessandra\ubomxqtc.exe
c:\documents and settings\Roberta & Alessandra\vfdohdxo.exe
c:\documents and settings\Roberta & Alessandra\wjcfmkyd.exe
c:\documents and settings\Roberta & Alessandra\xbepsjxw.exe
c:\documents and settings\Roberta & Alessandra\xpesdwry.exe
c:\documents and settings\Roberta & Alessandra\xrljhrpu.exe
c:\documents and settings\Roberta & Alessandra\xrvgprzf.exe
c:\documents and settings\Roberta & Alessandra\xwnjuaze.exe
c:\documents and settings\Roberta & Alessandra\xzflcnng.exe
c:\documents and settings\Roberta & Alessandra\ymtcirgd.exe
c:\documents and settings\Roberta & Alessandra\yqvnwhfb.exe
c:\documents and settings\Roberta & Alessandra\zeklfxhh.exe
c:\documents and settings\Roberta & Alessandra\zrkoaaaw.exe
c:\documents and settings\Roberta & Alessandra\zzqqwguq.exe
c:\programmi\ACID MULTI CAKE
c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs
c:\windows\Tasks\AA8EA8F391895C47.job

.
((((((((((((((((((((((((( Files Creati Da 2008-11-03 al 2008-12-03 )))))))))))))))))))))))))))))))))))
.

2008-12-03 17:39 . 2008-12-03 17:40 <DIR> d-------- c:\windows\LastGood
2008-12-02 17:20 . 2008-12-02 17:20 <DIR> d-------- c:\programmi\Trend Micro
2008-11-28 20:49 . 2008-11-28 20:52 <DIR> d-------- c:\programmi\SUPERAntiSpyware
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\Roberta & Alessandra\Dati applicazioni\SUPERAntiSpyware.com
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Malwarebytes
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-11-28 20:49 . 2008-11-28 20:49 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2008-11-28 20:49 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-28 20:49 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-23 21:37 . 2008-11-23 21:37 <DIR> d-------- c:\programmi\CCleaner
2008-11-23 16:57 . 2008-12-02 20:04 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-11-23 16:51 . 2008-11-23 16:51 96,976 --a------ c:\windows\system32\drivers\klin.dat
2008-11-23 16:51 . 2008-11-23 16:51 87,855 --a------ c:\windows\system32\drivers\klick.dat
2008-11-23 16:50 . 2008-11-23 16:50 <DIR> d-------- c:\programmi\Kaspersky Lab
2008-11-23 16:50 . 2008-12-03 17:38 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2008-11-23 16:50 . 2008-12-03 16:03 2,960,416 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-23 16:50 . 2008-12-03 18:13 778,272 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2008-11-23 16:50 . 2008-12-03 16:03 25,256 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-23 16:50 . 2008-12-03 18:13 3,740 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2008-11-23 16:45 . 2008-11-23 16:59 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2008-11-23 16:43 . 2008-11-25 19:30 <DIR> d-------- c:\programmi\a-squared Free
2008-11-20 21:16 . 2008-11-20 21:16 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-17 14:16 . 2008-07-26 16:23 195,096 --a------ c:\windows\system32\lvci11801048.dll
2008-11-17 14:13 . 2008-11-17 14:13 <DIR> d-------- c:\programmi\Logitech
2008-11-12 11:25 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 11:25 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-02 21:12 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Skype
2008-12-02 19:21 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\skypePM
2008-11-28 22:39 88,116 --sha-w c:\windows\system32\delidubu.dll
2008-11-28 19:48 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2008-11-23 20:46 --------- d-----w c:\programmi\Windows Live Toolbar
2008-11-23 15:21 --------- d-----w c:\programmi\COMODO
2008-11-23 15:21 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\Comodo
2008-11-17 23:04 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Motive
2008-11-17 13:18 --------- d-----w c:\programmi\File comuni\LogiShrd
2008-11-17 13:13 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Logishrd
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-12 19:25 --------- d-----w c:\programmi\iTunes
2008-10-12 19:25 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-12 19:24 --------- d-----w c:\programmi\iPod
2008-10-10 22:50 --------- d-----w c:\programmi\eMule
2008-10-07 14:33 --------- d-----w c:\programmi\Skype
2008-10-07 14:33 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Skype
2008-10-07 14:32 --------- d-----w c:\programmi\File comuni\Skype
2008-10-07 14:29 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\TeamViewer
2008-10-07 13:43 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Logitech
2008-10-06 11:39 --------- d-----w c:\programmi\MSN Messenger
2008-10-05 18:08 --------- d-----w c:\programmi\Circle Developement
2008-10-05 17:33 --------- d-----w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\TuneUp Software
2008-10-05 11:21 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Office Genuine Advantage
2008-10-04 22:45 --------- d-----w c:\programmi\Java
2008-10-04 22:38 --------- d-----w c:\programmi\Avira
2008-10-03 19:06 --------- d-----w c:\programmi\ACIDMU~4
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:24 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:14 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-04-17 14:11 131,072 ----a-w c:\documents and settings\Roberta & Alessandra\ArdaSoftware.CommunicationLayer.dll
2007-03-23 18:31 71,320 ----a-w c:\documents and settings\Roberta & Alessandra\Dati applicazioni\GDIPFONTCACHEV1.DAT
2005-11-11 18:37 12,991,481 ----a-w c:\programmi\DirectX.cab
2004-07-19 21:58 1,156,363 ----a-w c:\programmi\BDANT.cab
2004-07-19 21:53 976,020 ----a-w c:\programmi\BDAXP.cab
2004-07-09 08:13 703,080 ----a-w c:\programmi\BDA.cab
.

((((((((((((((((((((((((((((( snapshot@2008-12-02_20.22.11.89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-18 20:10:48 94,920 ----a-w c:\windows\LastGood\system32\cdm.dll
+ 2008-07-18 20:07:34 270,880 ----a-w c:\windows\LastGood\system32\mucltui.dll
+ 2008-07-18 20:07:32 210,976 ----a-w c:\windows\LastGood\system32\muweb.dll
+ 2008-07-18 20:09:44 563,912 ----a-w c:\windows\LastGood\system32\wuapi.dll
+ 2008-07-18 20:10:42 53,448 ----a-w c:\windows\LastGood\system32\wuauclt.exe
+ 2008-07-18 20:09:42 1,811,656 ----a-w c:\windows\LastGood\system32\wuaueng.dll
+ 2008-07-18 20:09:46 325,832 ----a-w c:\windows\LastGood\system32\wucltui.dll
+ 2008-07-18 20:10:20 36,552 ----a-w c:\windows\LastGood\system32\wups.dll
+ 2008-07-18 20:10:40 45,768 ----a-w c:\windows\LastGood\system32\wups2.dll
+ 2008-07-18 20:09:44 205,000 ----a-w c:\windows\LastGood\system32\wuweb.dll
- 2008-07-18 20:10:48 94,920 -c--a-w c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44 92,696 -c--a-w c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44 563,912 -c--a-w c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20 561,688 -c--a-w c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42 53,448 -c--a-w c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44 51,224 -c--a-w c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42 1,811,656 -c--a-w c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40 1,809,944 -c--a-w c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46 325,832 -c--a-w c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22 323,608 -c--a-w c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:09:44 205,000 -c--a-w c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40 202,776 -c--a-w c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
+ 2008-09-05 22:30:52 267,304 ------w c:\windows\system32\WgaLogon.dll
+ 2008-09-05 22:30:06 952,360 ------w c:\windows\system32\WgaTray.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-11-17 1805552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"Adobe Photo Downloader"="c:\programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-07 57344]
"AliceRE_McciTrayApp"="c:\programmi\Alice ti aiuta\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe" [2006-11-21 936960]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"LogitechCommunicationsManager"="c:\programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programmi\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 206088]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]
"ISDN Monitor"="Linksts.exe" [2000-06-02 c:\windows\system32\linksts.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

c:\documents and settings\Roberta & Alessandra\Menu Avvio\Programmi\Esecuzione automatica\
Logitech . Registrazione prodotti.lnk - c:\programmi\Logitech\QuickCam\eReg.exe [2008-02-13 493832]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-03-04 217088]
Avvio rapido di HP Image Zone.lnk - c:\programmi\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 15:28 352256 c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Documents and Settings\\Roberta & Alessandra\\Desktop\\utorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\iPod\\bin\\iPodService.exe"=
"c:\\Programmi\\File comuni\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe"=
"c:\\Programmi\\MSN Messenger\\usnsvc.exe"=
"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 isdnlink;isdnlink;c:\windows\system32\DRIVERS\linkisdn.sys [2005-11-20 646795]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 SASDIFSV;SASDIFSV;\??\c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [2008-11-17 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\programmi\SUPERAntiSpyware\SASKUTIL.sys [2008-11-17 55024]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 SASENUM;SASENUM;\??\c:\programmi\SUPERAntiSpyware\SASENUM.SYS [2008-11-17 7408]
S3 LVRS;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs.sys [2008-10-07 627864]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\c:\windows\system32\NSNDIS5.SYS []
S3 vmdmc;Intelligent VComm+ Port Driver;c:\windows\system32\DRIVERS\vmdmc.sys []
S3 wanlink;wanlink;c:\windows\system32\DRIVERS\wanlink.sys [2005-11-20 61320]
S4 hpt3xx;hpt3xx; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a78e02ca-3ce3-11db-a04f-0013d455129e}]
\Shell\AutoRun\command - f:\jdsecure\Windows\JDSecure31.exe
.
Contenuto della cartella 'Scheduled Tasks'

2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-11-28 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2008-12-03 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2008-12-03 c:\windows\Tasks\Verifica e correzione automatica.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-03 18:17:26
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(1052)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2008-12-03 18.18.41
ComboFix-quarantined-files.txt 2008-12-03 17:18:38
ComboFix2.txt 2008-12-02 19:28:06

Pre-Run: 51.398.230.016 byte disponibili
Post-Run: 51,383,214,080 byte disponibili

343 --- E O F --- 2008-12-02 21:17:44

ora faccio con l'altro programma... poi?
Ultima modifica di Thierry1989 il mer dic 03, 2008 6:36 pm, modificato 1 volta in totale.
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Re: molti trojan da debellare!

Messaggioda Thierry1989 » mer dic 03, 2008 6:35 pm

ok ho fatto anche con Perlovga Removal Tool con dentro una penna usb (probabilmente infetta). e adesso??
By Giu89
Grazie in anticipo per l'interesse
Avatar utente
Thierry1989
Bronze Member
Bronze Member
 
Messaggi: 760
Iscritto il: sab mar 31, 2007 1:05 pm
Località: Bari

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising