Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Ancora Malware Defense

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 12:47 pm

Salve a tutti ricorro di nuovo al vostro aiuto (scrivo dal pc non infettato) in quanto vittima anche io del nuovo malware Windows Defense. Stavo regolarmente navigando su internet (e sottolineo in siti nè di porno nè per scaricare, ma su livejournal) quando improvvisamente il Centro di difesa di Windows ha smesso di funzionare, seguito da Avira Antivir. Dopo il riavvio una schermata di errore mi annunciava dell'impossibilità di caricare l'antivirus e comparivano gli stessi pop-up che ho visto in post precedenti. Per ripulire il pc ho utilizzato Combofix e FindyKill (in quanto temevo un'infezione di bagle). Allego i log di Combofix e Hijackthis. Ci sono altri problemi?
In realtà già dopo la scansione con Combofix Avira era tornato a funzionare (ma l'ho comunque disinstallato e installato di nuovo) invece MalwareBytes, dopo essere stato disinstallato e reinstallato, mi ha dato un errore al momento dell'aggiornamento. Ciò significa che sono ancora infetta? Eppure Avira sembra funzionare.

ComboFix 09-12-28.05 - Hachiko 29/12/2009 10.57.42.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.39.1040.18.2046.947 [GMT 1:00]
Eseguito da: c:\users\Hachiko\Desktop\hughigay.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {002B39E0-077F-0000-0000-000000002B00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00310034-0034-0034-6300-630066003100}
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AntiVir Desktop *disabled* (Outdated) {002B39E0-077F-0000-0000-000000002B00}
SP: AntiVir Desktop *enabled* (Updated) {00310034-0034-0034-6300-630066003100}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2004131458-2375346887-250727269-500
c:\$recycle.bin\S-1-5-21-2316434646-4274884692-673607399-500
c:\windows\system32\drivers\H8SRTmoejevpswc.sys
c:\windows\system32\H8SRTpwkuphhpgv.dat
c:\windows\system32\H8SRTtrojsclkwp.dll
c:\windows\system32\H8SRTwkbowpxegb.dll
c:\windows\system32\H8SRTxeuxmabfpt.dll
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


((((((((((((((((((((((((( Files Creati Da 2009-11-28 al 2009-12-29 )))))))))))))))))))))))))))))))))))
.

2009-12-29 10:12 . 2009-12-29 10:16 -------- d-----w- c:\users\Hachiko\AppData\Local\temp
2009-12-29 10:12 . 2009-12-29 10:12 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-12-23 11:30 . 2009-12-23 11:30 -------- d-----w- c:\programdata\NVIDIA
2009-12-23 11:14 . 2009-10-29 07:59 2048 ----a-w- c:\windows\system32\tzres.dll
2009-12-23 11:04 . 2009-11-09 13:34 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-12-23 11:04 . 2009-11-09 13:30 31232 ----a-w- c:\windows\system32\httpapi.dll
2009-12-23 11:04 . 2009-11-09 11:17 396800 ----a-w- c:\windows\system32\drivers\http.sys
2009-12-09 11:18 . 2009-10-07 12:47 232960 ----a-w- c:\windows\system32\rastls.dll
2009-12-09 11:18 . 2009-10-07 12:47 274432 ----a-w- c:\windows\system32\raschap.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 10:16 . 2009-12-23 10:57 28029 ----a-w- c:\programdata\nvModes.dat
2009-12-29 10:04 . 2006-11-06 01:52 685278 ----a-w- c:\windows\system32\perfh010.dat
2009-12-29 10:04 . 2006-11-06 01:52 115804 ----a-w- c:\windows\system32\perfc010.dat
2009-12-27 18:54 . 2009-05-04 12:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-27 18:54 . 2009-05-31 14:19 4844296 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-25 18:36 . 2009-07-09 15:59 -------- d-----w- c:\users\Hachiko\AppData\Roaming\vlc
2009-12-23 11:18 . 2007-05-18 01:48 -------- d-----w- c:\programdata\Microsoft Help
2009-12-10 19:28 . 2009-11-09 11:52 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 15:14 . 2009-05-04 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-05-04 12:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-18 14:53 . 2009-11-18 14:53 -------- d-----w- c:\program files\Recuva
2009-11-13 18:34 . 2009-04-17 17:23 -------- d-----w- c:\program files\Messenger Plus! Live
2009-11-09 11:52 . 2009-11-09 11:52 -------- d-----w- c:\programdata\Avira
2009-11-09 11:52 . 2009-11-09 11:52 -------- d-----w- c:\program files\Avira
2009-10-27 15:05 . 2009-12-09 11:36 832512 ----a-w- c:\windows\system32\wininet.dll
2009-10-27 15:01 . 2009-12-09 11:36 56320 ----a-w- c:\windows\system32\iesetup.dll
2009-10-27 15:01 . 2009-12-09 11:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-27 14:59 . 2009-12-09 11:36 72704 ----a-w- c:\windows\system32\admparse.dll
2009-10-27 12:27 . 2009-12-09 11:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-10-27 10:56 . 2009-12-09 11:36 48128 ----a-w- c:\windows\system32\mshtmler.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-06-12 700416]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-10 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-10-11 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"CognizanceTS"="c:\progra~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll" [2003-12-22 17920]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-04 13556256]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-04 92704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Hachiko^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk]
path=c:\users\Hachiko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnk.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^Hachiko^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Ritaglio schermata e avvio di OneNote 2007.lnk]
path=c:\users\Hachiko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ritaglio schermata e avvio di OneNote 2007.lnk
backup=c:\windows\pss\Ritaglio schermata e avvio di OneNote 2007.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 16:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-10-09 20:43 729088 ----a-w- c:\program files\Motorola\SMSERIAL\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-08-31 09:33 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 ASBroker;Operatore della sessione di accesso;c:\windows\System32\svchost.exe -k Cognizance [02/11/2006 9.35.16 22016]
R2 ASChannel;Canale di comunicazione locale;c:\windows\System32\svchost.exe -k Cognizance [02/11/2006 9.35.16 22016]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [17/11/2008 14.40.22 3668480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 11:16
Windows 6.0.6000 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'Explorer.exe'(1504)
c:\windows\system32\APSHook.dll
c:\program files\Bioscrypt\VeriSoft\Bin\ItClient.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\HP\QuickPlay\Kernel\TV\CLSched.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Ora fine scansione: 2009-12-29 11:27:21 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-12-29 10:27

Pre-Run: 5.368.385.536 byte disponibili
Post-Run: 5.027.188.736 byte disponibili

- - End Of File - - 9F1A2D9B65E918AD7F83E444AFDDA000


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.39.21, on 29/12/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
c:\Program Files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Hachiko\Desktop\hughigayyyyy3.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: VeriSoft Access Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Bioscrypt\VeriSoft\Bin\ItIEAddIn.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 8168 bytes
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda riise90 » mar dic 29, 2009 1:07 pm

Malwarebytes sta dando problemi di aggiornamento anche a me.
Nell ha scritto:invece MalwareBytes, dopo essere stato disinstallato e reinstallato, mi ha dato un errore al momento dell'aggiornamento.

Per caso ti dice: Error code: 732 (0, 0)?
Fixa questa voce con Hijackthis:
Codice: Seleziona tutto
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
L'albero della libertà deve essere rinvigorito di tanto in tanto con il sangue dei patrioti e dei tiranni. Esso ne rappresenta il concime naturale.
Avatar utente
riise90
Bronze Member
Bronze Member
 
Messaggi: 826
Iscritto il: mar lug 01, 2008 3:48 pm
Località: Roma

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 1:19 pm

Nell ha scritto:Ciò significa che sono ancora infetta? Eppure Avira sembra funzionare.

Avevi già fatto queste due operazioni?
Prima usare questo tool e poi avenger.
http://support.kaspersky.com/downloads/ ... killer.zip

Intanto Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Folders to delete:
%UserProfile%\Impostazioni locali\Temp


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 1:30 pm

Per caso ti dice: Error code: 732 (0, 0)?

Non ricordo, appena Avira finisce la scansione riprovo e posto [:)] e fixo quella voce! grazie mille!

Avevi già fatto queste due operazioni?
Prima usare questo tool e poi avenger.

No purtroppo! la guida che avevi postato non si apriva (mi dava un errore nel sito [V] ) quindi sono andata alla cieca [sh]
allora farò come detto, userò quel tool e anche avenger (e dopo ciò dovrò re-installare avira ancora una volta?), ho una domanda riguardo al comando da dare: ma al posto di " %UserProfile% " devo scrivere il nome del mio profilo? esempio: Gino [rotfl]
Ancora grazie per il vostro aiuto!
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 1:55 pm

Nell ha scritto:No purtroppo! la guida che avevi postato non si apriva (mi dava un errore nel sito [V] ) quindi sono andata alla cieca

Quel sito garantivano di tenere i file per un anno, invece mi è stato cancellato senza spiegazioni.
Se qualcuno ha il pdf disponibile e può ricaricarlo, altrimenti lo faccio appena torno a casa.

Nell ha scritto:ma al posto di " %UserProfile% " devo scrivere il nome del mio profilo? esempio: Gino [rotfl]

No, va bene così come è scritto, prende lui in automatico il nome del tuo account.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 2:01 pm

Quel sito garantivano di tenere i file per un anno, invece mi è stato cancellato senza spiegazioni.
Se qualcuno ha il pdf disponibile e può ricaricarlo, altrimenti lo faccio appena torno a casa.

ora capisco [std] se lo uploderai tu ti ringrazio in anticipo [:)]

No, va bene così come è scritto, prende lui in automatico il nome del tuo account.

perfetto! grazie! Posterò presto il log!
edit: detto e fatto
ho usato il tool di kaspersky e non ha trovato alcuna minaccia, idem Avira e sono riuscita ad aggiornare malwarebytes. Inoltre ho fixato la voce consigliata da riise90 e ho usato lo script questo è il log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder "C:\Users\Hachiko\Impostazioni locali\Temp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

A questo punto posso definirmi priva di virus?

EDIT 2: ho notato che il centro sicurezza PC di windows non si apre nemmeno nè in automatico all'avvio nè da pannello di controllo: è sempre causato dal virus vero? come si può ovviare al problema?
Inoltre avevo intenzione di installare un firewall: su un altro pc(non mio) avevo installato armor online avendo visto che si tratta di un buon software da voi anche studiato, quindi mi chiedevo: utilizzando avira 9, malwarebytes (ma senza controllo in tempo reale) e s.o. windows vista a 32 bit ci possono essere dei problemi tra questi programmi? So che se ne era già discusso ma non sono riuscita a trovare la risposta cercando sia su google sia su MegaLab: ho visto sul sito che il firewall è compatibile con vista 32 bit ma può dare problemi con avira?
Ultima modifica di Nell il mar dic 29, 2009 3:16 pm, modificato 1 volta in totale.
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 3:15 pm

Nell ha scritto:ora capisco [std] se lo uploderai tu ti ringrazio in anticipo [:)]

Nuovo link http://www.wikifortio.com/751433/Artico ... zy.cat.pdf

A questo punto posso definirmi priva di virus?

Direi di si.

EDIT 2: ho notato che il centro sicurezza PC di windows non si apre nemmeno nè in automatico all'avvio nè da pannello di controllo: è sempre causato dal virus vero? come si può ovviare al problema?

Controlla se il suo servizio è attivo, pannello di controllo - strumenti di amministrazione - servizi - centro di sicurezza e vedi impostarlo con avvio automatico.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 3:18 pm

Grazie mille per l'articolo!

per non fare ottocento post avevo anche scritto (ma pochi minuti dopo quindi mi spiace che non abbia potuto leggere subito, sono una frana):

"Inoltre avevo intenzione di installare un firewall: su un altro pc(non mio) avevo installato armor online avendo visto che si tratta di un buon software da voi anche studiato, quindi mi chiedevo: utilizzando avira 9, malwarebytes (ma senza controllo in tempo reale) e s.o. windows vista a 32 bit ci possono essere dei problemi tra questi programmi? So che se ne era già discusso ma non sono riuscita a trovare la risposta cercando sia su google sia su MegaLab: ho visto sul sito che il firewall è compatibile con vista 32 bit ma può dare problemi con avira?"
[:)]

edit: leggevo nell'articolo che questa infezione è dovuta a "un link in un messaggio di posta,
simpatici e invitanti banner su qualche sito poco affidabile che vi invitano a provare questi programmi "miracolosi",
ultimamente vanno molto di moda i falsi portali, sullo stile di YouTube, con video, di solito di genere porno, che
propongono aggiornamenti di codec o di flash player per visualizzare i video." ma io non ho fatto nulla di ciò quindi mi e chiedo a voi esperti : come è possibile che si sia autoinstallato senza alcuna mia azione nel pc (stavo solo navigando )? (il pensiero mi sta veramente corrodendo in quanto se sapessi la soluzione potrei non commettere più lo stesso errore [sh] )
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 3:23 pm

Nell ha scritto: ho visto sul sito che il firewall è compatibile con vista 32 bit ma può dare problemi con avira?"

In genere non dava problemi, ultimamente sono arrivate alcune lamentele, tra cui la mia, di strani problemi proprio con online armor.
Prova Pc tools firewall, non te ne pentirai.

Ci sono tanti altri metodi, per l'infezione, ho elencato i principali.
Metti su il firewall con hips e vedrai quanti belli avvisi ti saltano fuori in caso di problemi.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 3:29 pm

Controlla se il suo servizio è attivo, pannello di controllo - strumenti di amministrazione - servizi - centro di sicurezza e vedi impostarlo con avvio automatico.

Possibile che non ci sia tra i servizi? ok che sono miope ma.. [sh] c'è invece un certo: wscsvc di cui dice: impossibile leggere la descrizione codice di errore: 2
che sia lui? [boh] attendo un'illuminante risposta!

In genere non dava problemi, ultimamente sono arrivate alcune lamentele, tra cui la mia, di strani problemi proprio con online armor.
Prova Pc tools firewall, non te ne pentirai.

benissimo, seguirò il tuo consiglio! Grazie ancora!
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 3:34 pm

Ho un xp in inglese adesso, sono andato a memoria per il nome del servizio.
wscsvc.exe dovrebbe essere un virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 4:13 pm

grazie comunque, se poi sai dirmi con precisione il servizio mi salvi la vita [:)]

ah ecco, perfetto morto un virus risorge l'altro. Cosa posso fare per toglierlo di mezzo?
Inoltre nel task manager ho trovato dei processi che mi paiono nuovi: un certo ieuser.exe e Googletoolbaruser_32.exe
sono normali? dell'ieuser nonostante la ricerca non ho cavato ragno dal buco [V]

ot: Tra l'altro ho giusto provato ad installare il firewall, ma durante l'installazione il pc si è completamente bloccato e ho quindi dovuto resettare il pc e quindi disinstallarlo (nonostante ci fosse l'icona era palese che l'installazione fosse andata male in quando pur cliccando il programma non si apriva) a cosa può essere dovuto? al virus di cui sopra? ormai sono sull'orlo di una crisi di nervi, niente firewall = virus, firewall = non si installa... [boh] /ot
ringraziandoti per la tua pazienza [cry]
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 4:21 pm

ci sono un po troppi nomi strani che girano nel tuo pc.
Un controllino con questo http://www.MegaLab.it/3591/avira-antivir-rescue-system non sarebbe male.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 4:43 pm

quale delle tre opzioni è meglio scegliere nella scansione del rescue cd? Io volevo scegliere "REMOVE INFECTED FILES" ma sono presenti anche "PROTOCOL MALWARE"(che sarebbe trovarli e basta mentre io vorrei proprio sradicarli [weponed] [weponed] ) e "TRY TO REPAIR". qual è il migliore? se provo a riparare quelli non riparati che fine fanno?
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 6:16 pm

Qui c'è sempre il rischio di eliminare qualche file utile, ma infetto, magari di sistema.
Nell ha scritto:Io volevo scegliere "REMOVE INFECTED FILES"?


"TRY TO REPAIR"

Qui puoi sempre salvare eventuali file importanti, o adottare strategie di rimozione diverse.

La scelta dipende dalle tue conoscenze informatiche e dal saper gestire il problema in maniera alternativa.

Nell ha scritto:se provo a riparare quelli non riparati che fine fanno?

Potrei dire che li lascia dove sono o che li mette in quarantena. Ma dico più semplicemente che non ne ho idea,
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 7:02 pm

Ti ringrazio per la pronta risposta per le mie innumerevoli domande, ci sono novità: dopo una lunga scansione il risultato è stato nessun file infetto. possibile? francamente non me ne intendo di pc, so solo che evidentemente il mio è dotato di vita propria, non so che altro dire [boh] [boh] avevo solo alcuni warnings dovuti a elementi rar che avevo spezzettato e quindi senza possibilità di essere esaminati.
Il computer purtroppo continua ad essere lento nell'avvio - la schermata appare nera per circa 3-4 secondi per poi tornare normale- ma dopo questa scansione io non ho veramente parole [...] [rotolo] [...]
il centro difesa continua a non avviarsi e non ho la più pallida idea di come fare, avete qualche idea? [boh] Detto ciò temo una cospirazione da parte di Gates ai miei danni [rotolo] [rotolo]
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda crazy.cat » mar dic 29, 2009 7:08 pm

Il servizio di chiama "Centro sicurezza pc"-

Vai su pannello di controllo - strumenti di amministrazione - visualizzatore eventi e vedi se ci sono degli errori in fase di avvio.

riposta un log di hijackthis, uno nuovo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Ancora Malware Defense

Messaggioda Nell » mar dic 29, 2009 7:33 pm

a dire il vero non trovo errori legati con il servizio "centro sicurezza pc"
ma è sicuramente un errore mio dovuto alla scarsa conoscenza in questo campo [uhm] [uhm]
ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.37.51, on 29/12/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
c:\Program Files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Hachiko\Desktop\hughigayyyyy3.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: VeriSoft Access Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Bioscrypt\VeriSoft\Bin\ItIEAddIn.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F606187-3AFA-49C9-B5A0-6C5403AE4AE7}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 8346 bytes


edit: mi sono accorta guardando un altro pc con vista che nel mio MANCA COMPLETAMENTE ( seguendo il percorso pannello di controllo -> protezione ) tutta la sezione sul centro sicurezza pc. E' come scomparso [boh]
Avatar utente
Nell
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: ven gen 02, 2009 6:34 pm

Re: Ancora Malware Defense

Messaggioda gio! » mar dic 29, 2009 9:45 pm

Questo fallo analizzare su www.virustotal.com e postaci i risultati
C:\Windows\SMINST\launcher.exe

Ci sono opinioni molto contrastanti sulla sua sicurezza.

Questo lo conosci? C:\Users\Hachiko\Desktop\hughigayyyyy3.exe
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Re: Ancora Malware Defense

Messaggioda houellebecq » mer dic 30, 2009 2:40 am

Un piccolo contributo anche da parte mia: io l'ho facilmente disinstallato con Revo Uninstaller ( http://www.revouninstaller.com/ ) in modalità provvisoria, poi ho fatto partire il tool della karspesky ( http://support.kaspersky.com/downloads/ ... killer.zip ) e poi Mbam e Antivir :)
Avatar utente
houellebecq
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: mar dic 29, 2009 9:39 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising