Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Possibile infezione?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Possibile infezione?

Messaggioda Spleen » dom nov 14, 2010 6:51 pm

Non ne sono sicuro, ma ultimamente il portatile sta facendo strani scherzi e c'è un processo di nome sishzm32.exe nel task manager che non mi convince tanto, ma non so come comportarmi, qui c'è il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.45.06, on 14/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE
C:\Documents and Settings\Vincent\Menu Avvio\Programmi\Esecuzione automatica\sishzm32.exe
C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Vincent\Desktop\Tscript\TScript.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\programmi\microsoft\watermark.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S105.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: sishzm32.exe
O4 - Startup: ZDWLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 5663 bytes


PS: ultimamente Antivir poi mi aveva detto di aver trovato un possibile virus in dei file html che finora erano perfettamente privi di problemi, è normale?
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda crazy.cat » dom nov 14, 2010 6:58 pm

Per adesso ti dico che sei pesantemente infettato
http://www.virustotal.com/file-scan/rep ... 1289693428
Se non arriva qualcuno, appena torno online ti preparo uno script per avenger ci sono varie cose da eliminare.

Fai una scansione anche con combofix nel mentre che vediamo se ci sono anche dei rootkit.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile infezione?

Messaggioda FDAC » dom nov 14, 2010 7:11 pm

Ciao.
Iniziamo con Combofix, e poi con Malwarebytes.
Dopo seguirà uno script di Crazy.

Scarica Combofix: http://download.bleepingcomputer.com/pr ... mboFix.exe
Nota: prima di eseguire il download, rinomina il file in pippo.exe

crea una cartella apposita sul Desktop e, al suo interno, posiziona il tool che hai scaricato ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

è assolutamente necessario, se attivo:
● disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)
● disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver: consenti

Quando Combofix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)
● ricollega, fisicamente, il modem al computer
● connettiti a Internet
● vai in Disco Locale C: cerca il log dal nome combofix.txt ed allegalo

Per allegare il log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm


Re: Possibile infezione?

Messaggioda crazy.cat » dom nov 14, 2010 7:45 pm

Bisognerebbe anche aggiornare il pc altrimenti si è molto scoperti.
Spleen ha scritto:Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Rifai la scansione con hijackthis, selezioni le caselle di queste due righe e premi fix checked per eliminarle.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\programmi\microsoft\watermark.exe,
O4 - Startup: sishzm32.exe

Scarica Avenger dal link sottostante:
http://swandog46.geekstogo.com/avenger.zip
- Scompattalo in una sua cartella non temporanea e non sul Desktop

- Avvia Avenger
- Clicca Ok
- Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Files to delete:
c:\programmi\microsoft\watermark.exe
C:\Documents and Settings\Vincent\Menu Avvio\Programmi\Esecuzione automatica\sishzm32.exe

- Togli la spunta da Scan for Rootkit
- Clicca su Execute e aspetta un po'.
- Il PC dovrebbe riavviarsi; se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger.

P.S. La nuova versione di Avenger ha un problema che si presenta abbastanza di frequente, quando tenti di eseguire lo script ottieni questo messaggio di errore:

Error: invalid script. Avalid script must begin with a command directive.
Aborting execution!

In questo caso prova a cancellare e riscrivere la prima riga dello script e poi a rieseguirlo. (Istruzioni by Fdac non avevo voglia di riscriverle)

Dopo il riavvio del pc fai il resto delle scansioni con combofix e malwarebytes.

Conosci questo programma ?
C:\Documents and Settings\Vincent\Desktop\Tscript\TScript.exe

Leggendo velocemente il log iniziale mi era sembrato peggio di quanto è in realtà.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile infezione?

Messaggioda Spleen » dom nov 14, 2010 8:02 pm

Allora, purtroppo ho fatto la scansione com Combofix prima che arrivasse l'ultimo messaggio, e qui c'è il log:
ComboFix.txt
Ho rifatto la scansione con Hijackthis e compare solo il watermark.exe, di sishzm32.exe non c'è più traccia, come procedo?
PS: TScript.exe so cos'è, non preoccupatevi di quello
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda stevens » dom nov 14, 2010 8:38 pm

ciao Crazy.cat
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Possibile infezione?

Messaggioda Spleen » dom nov 14, 2010 8:44 pm

C'è un altro problema (chiedo scusa se faccio un altro post, ma non c'è il comando per modificare il precedente, o almeno qui non si vede), Antivir ha ripreso a trovare virus in file html che prima erano innocui, rilevando HTML/Rce.Gen e HTML/Crypted.Gen, come devo comportarmi?
Adesso neanche Firefox si avvia più, sto postando con Opera.
Ed ecco il log di Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\programmi\microsoft\watermark.exe" deleted successfully.

Error: file "C:\Documents and Settings\Vincent\Menu Avvio\Programmi\Esecuzione automatica\sishzm32.exe" not found!
Deletion of file "C:\Documents and Settings\Vincent\Menu Avvio\Programmi\Esecuzione automatica\sishzm32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Però le segnalazioni di Antivir non sono finite, e ho trovato l'icona di internet explorer (che non ho mai usato) sul desktop, sebbene l'avessi rimossa molto tempo fa.
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda stevens » dom nov 14, 2010 9:19 pm

spleen

in base al tuo S.O. visualizza file e cartelle nascosti ed elimina il file in grassetto, e' una delle cause


c:\windows\system32\dmlconf.dat


ciao Crazy e scusa l'invasione
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Possibile infezione?

Messaggioda Spleen » dom nov 14, 2010 9:42 pm

Ok, provvedo. Ad ogni modo Sembra che Combofix abbia messo in quarantena i vari files in una cartella chiamata "Quarantine" dentro un'altra cartella di nome "Qoobox", che faccio, cancello tutti i file lì dentro con Avenger assieme a watermark.exe che a quanto sembra è ritornato, visto questo log di Hijackthis?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.55.31, on 14/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Opera\opera.exe
C:\Programmi\Avira\AntiVir Desktop\avscan.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\programmi\microsoft\watermark.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ZDWLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 5225 bytes
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda Spleen » lun nov 15, 2010 7:29 pm

Ho notato questo articolo nella home di MegaLab.it: http://www.MegaLab.it/6562/i-virus-su-w ... -da-ubuntu
Potrebbe funzionare anche per il mio caso o è meglio procedere ad eliminare tutti i file con Avenger e poi rifare le scansioni?
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda crazy.cat » lun nov 15, 2010 7:43 pm

Spleen ha scritto:Potrebbe funzionare anche per il mio caso

Si potrebbe funzionare.
Riprova con questo script per avenger

Files to delete:
c:\programmi\microsoft\watermark.exe
c:\windows\system32\dmlconf.dat

Cancella la riga con hijackthis
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\programmi\microsoft\watermark.exe

Fai un paio di riavvii del pc e vedi se rispunta la riga incriminata nel log di hijackthis.
Se ritorna fuori cambiamo strategia con qualche cd di boot per cercare i virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile infezione?

Messaggioda Spleen » lun nov 15, 2010 8:02 pm

Fatto, ma dmlconf.dat è tornato comunque, e watermark.exe è comunque segnalato da Hijackthis, niente da fare.
Oltretutto per i files in messi in quarantena in quella cartella di cui ho parlato nel post precedente che devo fare?
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda Spleen » mar nov 16, 2010 9:14 pm

Adesso sto provando il sistema con Ubuntu prima di riprovare ad eliminare tutto con avenger dato che già prima non ha funzionato, ma a me non esce nessuna schermata come la prima nell'articolo, esce solo una schermata di caricamento con la scritta Ubuntu e poi compare una schermata nera con su scritto "(initramfs) Unable to find a medium containing a live file system", eppure l'iso è quella che era linkata nell'articolo, ho pure provato a riscaricarla e rimasterizzarla ma niente da fare, qualche idea sul da farsi?
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm

Re: Possibile infezione?

Messaggioda Spleen » mer nov 17, 2010 5:44 pm

Sul fisso il disco di Ubuntu funziona alla perfezione, sul portatile non c'è niente da fare. esce sempre lo stesso messaggio, qualche altro consiglio su cosa fare?
Avatar utente
Spleen
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: dom nov 14, 2010 6:42 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising