Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Task Manager infetto ????

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Task Manager infetto ????

Messaggioda tyger » mer giu 01, 2011 9:43 pm

Altre volte mi sono appoggiato al mio forum preferito e ho sempre avuto un valido aiuto, spero anche stavolta.
S.O. windows 7 64bit su un assemblato con i5, 8gbyte di ram, 1 tbyte di Hdisk su scheda asus P7P55D-E ;
mi sono accorto, oggi, di non aver più a disposizione il Task Manager di windows; cliccando su 'gestione attività' non ricevo nessun segnale e nessun messaggio d'errore. Mi sono documentato un po' e ho fatto dei tentativi senza risultato; ho provato anche, seguendo un servizio di MegaLab, il "Gargaroz"
il quale non riesce nemmeno, a portare a buon fine la sua installazione. [XX(]
E' un virus ? uno spyware ? un che.... non lo so ... [boh]
Ringrazio in anticipo per un qualsiasi interessamento [grazie]
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora

Re: Task Manager infetto ????

Messaggioda Al3x » mer giu 01, 2011 10:05 pm

Inizia con il postare un log di HijackThis, potrebbe aiutare a capire se la cosa dipende da qualche malware [^]
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Task Manager infetto ????

Messaggioda tyger » mer giu 01, 2011 10:22 pm

Log di HiJack This
----------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:07, on 01/06/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\EXPERTool\TBPANEL.exe
C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\SysWOW64\cmd.exe
G:\Software\Virus\Trojan_Bagle_1\Troyan_Bagle_Nuovo\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe
C:\Windows\SysWOW64\find.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25554
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 64.46.38.43 www.google.com
O1 - Hosts: 178.17.165.3 www.google.com
O1 - Hosts: 64.46.38.43 www.google.com.au
O1 - Hosts: 178.17.165.3 www.google.com.au
O1 - Hosts: 64.46.38.43 www.google.be
O1 - Hosts: 178.17.165.3 www.google.be
O1 - Hosts: 64.46.38.43 www.google.com.br
O1 - Hosts: 178.17.165.3 www.google.com.br
O1 - Hosts: 64.46.38.43 www.google.ca
O1 - Hosts: 178.17.165.3 www.google.ca
O1 - Hosts: 64.46.38.43 www.google.ch
O1 - Hosts: 178.17.165.3 www.google.ch
O1 - Hosts: 64.46.38.43 www.google.de
O1 - Hosts: 178.17.165.3 www.google.de
O1 - Hosts: 64.46.38.43 www.google.dk
O1 - Hosts: 178.17.165.3 www.google.dk
O1 - Hosts: 64.46.38.43 www.google.fr
O1 - Hosts: 178.17.165.3 www.google.fr
O1 - Hosts: 64.46.38.43 www.google.ie
O1 - Hosts: 178.17.165.3 www.google.ie
O1 - Hosts: 64.46.38.43 www.google.it
O1 - Hosts: 178.17.165.3 www.google.it
O1 - Hosts: 64.46.38.43 www.google.co.jp
O1 - Hosts: 178.17.165.3 www.google.co.jp
O1 - Hosts: 64.46.38.43 www.google.nl
O1 - Hosts: 178.17.165.3 www.google.nl
O1 - Hosts: 64.46.38.43 www.google.no
O1 - Hosts: 178.17.165.3 www.google.no
O1 - Hosts: 64.46.38.43 www.google.co.nz
O1 - Hosts: 178.17.165.3 www.google.co.nz
O1 - Hosts: 64.46.38.43 www.google.pl
O1 - Hosts: 178.17.165.3 www.google.pl
O1 - Hosts: 64.46.38.43 www.google.se
O1 - Hosts: 178.17.165.3 www.google.se
O1 - Hosts: 64.46.38.43 www.google.co.uk
O1 - Hosts: 178.17.165.3 www.google.co.uk
O1 - Hosts: 64.46.38.43 www.google.co.za
O1 - Hosts: 178.17.165.3 www.google.co.za
O1 - Hosts: 64.46.38.43 www.bing.com
O1 - Hosts: 178.17.165.3 www.bing.com
O1 - Hosts: 64.46.38.43 search.yahoo.com
O1 - Hosts: 178.17.165.3 search.yahoo.com
O1 - Hosts: 64.46.38.43 uk.search.yahoo.com
O1 - Hosts: 178.17.165.3 uk.search.yahoo.com
O1 - Hosts: 64.46.38.43 ca.search.yahoo.com
O1 - Hosts: 178.17.165.3 ca.search.yahoo.com
O1 - Hosts: 64.46.38.43 de.search.yahoo.com
O1 - Hosts: 178.17.165.3 de.search.yahoo.com
O1 - Hosts: 64.46.38.43 fr.search.yahoo.com
O1 - Hosts: 178.17.165.3 fr.search.yahoo.com
O1 - Hosts: 64.46.38.43 au.search.yahoo.com
O1 - Hosts: 178.17.165.3 au.search.yahoo.com
O1 - Hosts: 64.46.38.43 www.google-analytics.com
O1 - Hosts: 178.17.165.3 www.google-analytics.com
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [Activator_Office_14] C:\Windows\system32\Activator_Office_14\KMSStart.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [GAINWARD] C:\Program Files (x86)\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [EPSON Stylus Office B40W(Rete)] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIELE.EXE /FU "C:\Windows\TEMP\E_S28E6.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [PC Security Guardian] "C:\ProgramData\9561dd\PS956_328.exe" /s /d
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Autodesk Content Service - Unknown owner - C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Program Files (x86)\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service 64 - Flexera Software, Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: mental ray 3.8 Satellite for Autodesk 3ds Max 2011 64-bit 64-bit (mi-raysat_3dsmax2011_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_64server.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero Update (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NitroPDFDriverCreatorReadSpool (NitroDriverReadSpool) - Nitro PDF Software - C:\Program Files\Common Files\Nitro PDF\Professional\6.0\NitroPDFDriverServicex64.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11626 bytes
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora


Re: Task Manager infetto ????

Messaggioda Berga95 » mer giu 01, 2011 10:46 pm

Questo sembra un rogue
O4 - HKCU\..\Run: [PC Security Guardian] "C:\ProgramData\9561dd\PS956_328.exe" /s /d


E inoltre il tuo file hosts non pare proprio sano... [uhm]

O1 - Hosts: 64.46.38.43 http://www.google.com
O1 - Hosts: 178.17.165.3 http://www.google.com
O1 - Hosts: 64.46.38.43 http://www.google.com.au
O1 - Hosts: 178.17.165.3 http://www.google.com.au
O1 - Hosts: 64.46.38.43 http://www.google.be
O1 - Hosts: 178.17.165.3 http://www.google.be
O1 - Hosts: 64.46.38.43 http://www.google.com.br
O1 - Hosts: 178.17.165.3 http://www.google.com.br
O1 - Hosts: 64.46.38.43 http://www.google.ca
O1 - Hosts: 178.17.165.3 http://www.google.ca
O1 - Hosts: 64.46.38.43 http://www.google.ch
O1 - Hosts: 178.17.165.3 http://www.google.ch
O1 - Hosts: 64.46.38.43 http://www.google.de
O1 - Hosts: 178.17.165.3 http://www.google.de
O1 - Hosts: 64.46.38.43 http://www.google.dk
O1 - Hosts: 178.17.165.3 http://www.google.dk
O1 - Hosts: 64.46.38.43 http://www.google.fr
O1 - Hosts: 178.17.165.3 http://www.google.fr
O1 - Hosts: 64.46.38.43 http://www.google.ie
O1 - Hosts: 178.17.165.3 http://www.google.ie
O1 - Hosts: 64.46.38.43 http://www.google.it
O1 - Hosts: 178.17.165.3 http://www.google.it
O1 - Hosts: 64.46.38.43 http://www.google.co.jp
O1 - Hosts: 178.17.165.3 http://www.google.co.jp
O1 - Hosts: 64.46.38.43 http://www.google.nl
O1 - Hosts: 178.17.165.3 http://www.google.nl
O1 - Hosts: 64.46.38.43 http://www.google.no
O1 - Hosts: 178.17.165.3 http://www.google.no
O1 - Hosts: 64.46.38.43 http://www.google.co.nz
O1 - Hosts: 178.17.165.3 http://www.google.co.nz
O1 - Hosts: 64.46.38.43 http://www.google.pl
O1 - Hosts: 178.17.165.3 http://www.google.pl
O1 - Hosts: 64.46.38.43 http://www.google.se
O1 - Hosts: 178.17.165.3 http://www.google.se
O1 - Hosts: 64.46.38.43 http://www.google.co.uk
O1 - Hosts: 178.17.165.3 http://www.google.co.uk
O1 - Hosts: 64.46.38.43 http://www.google.co.za
O1 - Hosts: 178.17.165.3 http://www.google.co.za
O1 - Hosts: 64.46.38.43 http://www.bing.com
O1 - Hosts: 178.17.165.3 http://www.bing.com
O1 - Hosts: 64.46.38.43 search.yahoo.com
O1 - Hosts: 178.17.165.3 search.yahoo.com
O1 - Hosts: 64.46.38.43 uk.search.yahoo.com
O1 - Hosts: 178.17.165.3 uk.search.yahoo.com
O1 - Hosts: 64.46.38.43 ca.search.yahoo.com
O1 - Hosts: 178.17.165.3 ca.search.yahoo.com
O1 - Hosts: 64.46.38.43 de.search.yahoo.com
O1 - Hosts: 178.17.165.3 de.search.yahoo.com
O1 - Hosts: 64.46.38.43 fr.search.yahoo.com
O1 - Hosts: 178.17.165.3 fr.search.yahoo.com
O1 - Hosts: 64.46.38.43 au.search.yahoo.com
O1 - Hosts: 178.17.165.3 au.search.yahoo.com
O1 - Hosts: 64.46.38.43 http://www.google-analytics.com
O1 - Hosts: 178.17.165.3 http://www.google-analytics.com

Fai una scansione con MalwareBytes AntiMalware, dovrebbe anche rilevare una chiave di registro che impedisce l'accesso al task manager [^]

A domani!
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Task Manager infetto ????

Messaggioda Al3x » gio giu 02, 2011 10:01 am

Berga95 ha scritto:E inoltre il tuo file hosts non pare proprio sano... [uhm]

in effetti tutte le ricerche vengono reindirizzate presso quei due IP [...] da ripulire subito
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Task Manager infetto ????

Messaggioda tyger » gio giu 02, 2011 4:31 pm

[quoteFai una scansione con MalwareBytes AntiMalware, dovrebbe anche rilevare una chiave di registro che impedisce l'accesso al task manager ][/quote]

Malwarebytes' Anti-Malware 1.51.0.1200
http://www.malwarebytes.org

Versione database: 6705

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

02/06/2011 17:01:03
mbam-log-2011-06-02 (17-00-29).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 158885
Tempo impiegato: 1 minuti, 35 secondi

Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 755
Valori di registro infetti: 32
Voci infette nei dati di registro: 1
Cartelle infette: 1
File infetti: 3

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
----------------------------------------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ants.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apimonitor.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aplica32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apvxdwin.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashAvast.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashBug.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashChest.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashCnsnt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashLogV.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashMaiSv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashPopWz.exe (Security.Hijack) -> No action taken.
-----------------------------------------------------------------------------------------------------------------------------------------------
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\0 (Security.Hijack) -> Value: 0 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 (Security.Hijack) -> Value: 1 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\2 (Security.Hijack) -> Value: 2 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 (Security.Hijack) -> Value: 3 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 (Security.Hijack) -> Value: 4 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\5 (Security.Hijack) -> Value: 5 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\6 (Security.Hijack) -> Value: 6 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\7 (Security.Hijack) -> Value: 7 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\8 (Security.Hijack) -> Value: 8 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\9 (Security.Hijack) -> Value: 9 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\10 (Security.Hijack) -> Value: 10 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\11 (Security.Hijack) -> Value: 11 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\12 (Security.Hijack) -> Value: 12 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\13 (Security.Hijack) -> Value: 13 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\14 (Security.Hijack) -> Value: 14 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\15 (Security.Hijack) -> Value: 15 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\PC Security Guardian (Rogue.PCSecurityGuardian) -> Value: PC Security Guardian -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Arrakis3.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdAgent.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdreinit.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdsubwiz.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdtkexec.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdwizreg.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uiscan.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\upgrepl.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.

Voci infette nei dati di registro:
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.

Cartelle infette:
c:\Users\Giuseppe\AppData\Roaming\pc security guardian (Rogue.PCSecurityGuardian) -> No action taken.

File infetti:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
c:\Users\Giuseppe\AppData\Roaming\pc security guardian\instructions.ini (Rogue.PCSecurityGuardian) -> No action taken.
c:\Users\Giuseppe\AppData\Roaming\pc security guardian\cookies.sqlite (Rogue.PCSecurityGuardian) -> No action taken.


Ho allegato solo un estratto del file di log perché tutte le 755 chiavi di registro non è possibile inserirle.
Alcune poi, come quelle di Avast, dovrebbero essere dei falsi positivi, però non so quante e quali. [boh]
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora

Re: Task Manager infetto ????

Messaggioda hashcat » gio giu 02, 2011 4:49 pm

Carica il log completo su paste2.org e inserisci il link nel prossimo messaggio [;)]

Poi esegui una scansione completa e Carica il log completo su paste2.org e inserisci il link nel prossimo messaggio.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Task Manager infetto ????

Messaggioda Berga95 » gio giu 02, 2011 5:02 pm

Non ho mai incontrato queste chiavi di registro chiamate Image File Execution Options; così, ho googolato un po': da quanto ho capito, il nome della chiave corrisponde ad un programma. Se si tenta di aprirlo, invece di aprirlo si apre un altro programma, contenuto nel campo value della chiave.
Confermate la veridicità di quanto ho detto? Come ho già detto è la prima volta che vedo questa cosa...

Peccato che non si vede a che programma reindirizza [uhm]

Comunque, ripeti la scansione in modalità completa, come suggerito da hashcat [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Task Manager infetto ????

Messaggioda tyger » gio giu 02, 2011 5:19 pm

Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora

Re: Task Manager infetto ????

Messaggioda Berga95 » gio giu 02, 2011 5:31 pm

Nella riga 816 si trova questo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger (Security.Hijack) -> Value: Debugger -> No action taken.

Che serve, appunto, per disabilitare il task manager...
Quello che non capisco (di nuovo [:D] ) è perché vengono soppressi sia processi legittimi (e ciò avrebbe un senso) sia processi malevoli (vedi righe 609 ~ 613)
Che il keylogger non voglia avere concorrenza? [boh]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Task Manager infetto ????

Messaggioda hashcat » gio giu 02, 2011 5:36 pm

Berga95 ha scritto:Non ho mai incontrato queste chiavi di registro chiamate Image File Execution Options; così, ho googolato un po': da quanto ho capito, il nome della chiave corrisponde ad un programma. Se si tenta di aprirlo, invece di aprirlo si apre un altro programma, contenuto nel campo value della chiave.
Confermate la veridicità di quanto ho detto? Come ho già detto è la prima volta che vedo questa cosa...


E non solo, impostando come valore debugger si ottengono i massimi privilegi [sh]

EDIT:

Puoi tranquillamente mettere tutto in quarantena, riavviare il computer, aggiornare malwarebytes ed eseguire una scansione completa, salvare il log, caricarlo su paste2.org e inserire il link nel prossimo messaggio.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Task Manager infetto ????

Messaggioda Berga95 » gio giu 02, 2011 5:44 pm

Ma non è il nome della stringa Debugger?
[acc2] Non ci capisco più nulla [fischio]
tyger, vai su Start [f] scrivi regedit sulla barra cerca, aprilo [f] Posizionati sulla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, scegli una chiave a caso tra le 700 possibili (a parte il predefinito o default, non ricordo) e controlla il valore, così tagliamo la testa al toro. [^]
Non modificare/eliminare nulla, mi raccomando [;)]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: Task Manager infetto ????

Messaggioda tyger » gio giu 02, 2011 6:46 pm

E non solo, impostando come valore debugger si ottengono i massimi privilegi

..a proposito di privilegi ho anche scoperto che il il mio User non ha più tutti i privilegi di prima su alcune cartelle del PC.
log scansione completa: http://paste2.org/p/1448486

tyger, vai su Start scrivi regedit sulla barra cerca, aprilo Posizionati sulla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, scegli una chiave a caso tra le 700 possibili (a parte il predefinito o default, non ricordo) e controlla il valore, così tagliamo la testa al toro.
Non modificare/eliminare nulla, mi raccomando

..tutte le chiavi hanno due sottochiavi: 1) Predefinita (non impostata) 2) Debugger (svchost.exe) tranne queste che hanno sottochiavi e valori diversi:
1) DIINXOptions
2) iexplore.exe
3) MovieMaker.exe
4) WLXAlbumDownlodWizard.exe
non capisco ! [XX(]
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora

Re: Task Manager infetto ????

Messaggioda hashcat » gio giu 02, 2011 6:57 pm

tyger ha scritto:
E non solo, impostando come valore debugger si ottengono i massimi privilegi

..a proposito di privilegi ho anche scoperto che il il mio User non ha più tutti i privilegi di prima su alcune cartelle del PC.
log scansione completa: http://paste2.org/p/1448486

tyger, vai su Start scrivi regedit sulla barra cerca, aprilo Posizionati sulla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, scegli una chiave a caso tra le 700 possibili (a parte il predefinito o default, non ricordo) e controlla il valore, così tagliamo la testa al toro.
Non modificare/eliminare nulla, mi raccomando

..tutte le chiavi hanno due sottochiavi: 1) Predefinita (non impostata) 2) Debugger (svchost.exe) tranne queste che hanno sottochiavi e valori diversi:
1) DIINXOptions
2) iexplore.exe
3) MovieMaker.exe
4) WLXAlbumDownlodWizard.exe
non capisco ! [XX(]


Puoi procedere alla rimozione di tutte le rilevazioni Selezionando al termine della scansione "Rimuovi selezionati".

Al termine della rimozione riavvia il computer e vedi se il taskmanager funziona correttamente. [^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Task Manager infetto ????

Messaggioda tyger » gio giu 02, 2011 8:52 pm

Puoi procedere alla rimozione di tutte le rilevazioni....

..il task manager è ritornato; [:)]
ma c'è comunque ancora qualcosa che non mi convince; [uhm]
nelle 'Prestazioni' la CPU è costantemente impegnata al 35 - 40% senza avviare nessuna utility.
Ho visto uno strano processo "cmd.exe*32" che è la causa di questo impegno, infatti se lo termino,
il lavoro della CPU scende a zero. La cosa strana è che riesco a terminarlo senza compromettere, all'apparenza, alcunchè.
Cosa mi suggerite ? Tutto ciò vi fa pensare a qualcosa ? [grazie] [grazie] [grazie]
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora

Re: Task Manager infetto ????

Messaggioda eugenio19911 » gio giu 02, 2011 9:00 pm

probabilmente qualcosa è sopravvissuto alla pulizia una scansione con hitman pro potrebbe trovarti altre cose:
http://www.surfright.nl/en/hitmanpro
Appunto Personale: Se ti venisse voglia di installare il pinguino o windows 8 fattela passare
Avatar utente
eugenio19911
Redattore
Redattore
 
Messaggi: 2158
Iscritto il: sab set 04, 2010 10:02 pm

Re: Task Manager infetto ????

Messaggioda hashcat » ven giu 03, 2011 7:01 pm

Scarica la versione a 64 bit:

http://dl.surfright.nl/HitmanPro35_x64.exe

Installala, e cambia le impostazioni avanzate con queste:
Immagine
Esegui una scansione (richiede una connessione ad internet permanente durante la scansione), ignora tutte le minacce rilevate:
Immagine
Al termine della scansione salva il log:
Immagine
Postalo su paste2.org e inserisci il link nel prossimo messaggio. [;)]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Task Manager infetto ????

Messaggioda tyger » mar giu 07, 2011 8:52 pm

da eugenio19911
probabilmente qualcosa è sopravvissuto alla pulizia una scansione con hitman pro potrebbe trovarti altre cose:

da hashcat
Scarica la versione a 64 bit:

http://dl.surfright.nl/HitmanPro35_x64.exe

Installala, e cambia le impostazioni avanzate con queste:

Hitman 64bit non rileva nessun problema quindi evito di postare il log.
Ho comunque trovato l'inghippo, girovagando quà e là nella Rete:
la causa del sovraccarico della CPU era dovuto a ...... Office 2010 ..................!!!!!!!!!!!!!!! spero di essermi spiegato. [;)]
Vi ringrazio comunque tantissimo per l'aiuto e l'interessamento [grazie] [grazie] [grazie]
Avatar utente
tyger
Aficionado
Aficionado
 
Messaggi: 74
Iscritto il: mar ago 05, 2008 5:09 pm
Località: Andora


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising