Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Che sia un virus?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Che sia un virus?

Messaggioda watcher » mer apr 13, 2011 11:12 pm

Buonasera ragazzi, vi chiedo una cortesia.
Ho un PC con WinXP SP3, protetto da Antivirus Avira e Firewall Comodo.
Uso sempre Firefox e utilizzo IE8 solo per gli aggiornamenti Windows.
Non ho mai preso un virus fino ad oggi, ma lanciando HijackThis per fare una scansione, mi sono ritrovato un log che non mi convince molto.
Soprattutto nella sezione O23, vedo dei servizi con nomi strani che puntano alla mia directory temporanea (i file non ci sono).
Non vorrei dire assurdità, ma ho idea che il tutto sia nato dall'aggiornamento Windows (patch del secondo martedì del mese) fatto ieri sera.
Allego il log, mi date una dritta?
Grazie di tutto, ciao.
[:)]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.49.54, on 13/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Creative\Shared Files\CTAudSvc.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\svchost.exe
E:\Documenti\Sicurezza\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programmi\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" -automount
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 5455211453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5455202343
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package 2) - http://ccfiles.creative.com/Web/softwar ... PIDPDE.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package 1) - http://ccfiles.creative.com/Web/softwar ... /CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28D7C1C3-A58F-4A9C-B673-5963614AD92C}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{28D7C1C3-A58F-4A9C-B673-5963614AD92C}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{28D7C1C3-A58F-4A9C-B673-5963614AD92C}: NameServer = 208.67.222.222,208.67.220.220
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FXYXZOW - Unknown owner - D:\Temp\FXYXZOW.exe (file missing)
O23 - Service: GXONDBXNPVKLJ - Unknown owner - D:\Temp\GXONDBXNPVKLJ.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Programmi\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - C:\Programmi\Secunia\PSI\sua.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5700 bytes
Avatar utente
watcher
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: sab mar 19, 2011 3:23 pm

Re: Che sia un virus?

Messaggioda crazy.cat » gio apr 14, 2011 3:48 am

Sono strani come nomi di patch, se i file non ci sono più puoi eliminare i falsi servizi con questo programma
http://royalfool.de/ServicesSuite.html
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Che sia un virus?

Messaggioda The Doctor » gio apr 14, 2011 7:32 am

Ciao e benvenuto watcher [^]

Qui trovi le informazioni per allegare correttamente i LOG di HijackThis e non solo... [;)]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)


Re: Che sia un virus?

Messaggioda watcher » gio apr 14, 2011 5:23 pm

Vi ringrazio per il pronto supporto! [^]
Crazy.cat, ho scaricato il programma che mi dicevi, ma non ho trovato la funzionalità che permetta di eliminare i servizi (riesco solo a disabilitarli).
Il tuo consiglio era forse di procedere alla rimozione manuale dei servizi dal registro, aprendo le chiavi partendo da ServicesSuite?
Ciao.
Avatar utente
watcher
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: sab mar 19, 2011 3:23 pm

Re: Che sia un virus?

Messaggioda watcher » gio apr 14, 2011 5:25 pm

Vi ringrazio per il pronto supporto! [^]
Crazy.cat, ho scaricato il programma che mi dicevi, ma non ho trovato la funzionalità che permetta di eliminare i servizi (riesco solo a disabilitarli).
Col tuo consiglio, mi indicavi forse di procedere alla rimozione manuale dei servizi dal registro, aprendo le chiavi partendo da ServicesSuite?
Ciao.
Avatar utente
watcher
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: sab mar 19, 2011 3:23 pm

Re: Che sia un virus?

Messaggioda crazy.cat » gio apr 14, 2011 6:52 pm

watcher ha scritto:Il tuo consiglio era forse di procedere alla rimozione manuale dei servizi dal registro, aprendo le chiavi partendo da ServicesSuite?

Si.
Poi basta un riavvio del pc e il servizo non esiste più.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Che sia un virus?

Messaggioda watcher » gio apr 14, 2011 10:20 pm

Poi basta un riavvio del pc e il servizio non esiste più.

... ed è stato proprio così!
Grazie ancora e buona serata.
Avatar utente
watcher
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: sab mar 19, 2011 3:23 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising