www.MegaLab.it

[Sabbb]

Il mio amico (produttore assiduo delle nuove lingue ) mi diceva che in un lasso di secondi ha visto due finestre sul desktop ,e non è riuscito a capire di cosa si tratta. Avira dice che è tutto ok ,e anche Malwarebytes. Mentre il tools della Trend Micro postato da Eugenio19911 dice che ci sono 7 file sospetti;al che scarico Combo e lancio una scansione. Ho trovato un file che vorrei mi deste un occhiata. Allego il log

ComboFix 11-06-11.01 - Pietro 12/06/2011 20.08.18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1917.1323 [GMT 2:00]
Eseguito da: c:\documents and settings\Pietro\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-55F9-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5AF1-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CE9-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0410.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2011-05-12 al 2011-06-12 )))))))))))))))))))))))))))))))))))
.
.
2011-06-08 13:52 . 2011-06-08 16:15 -------- d-----w- C:\Hij
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-14 16:53 . 2011-06-08 08:03 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\073a8e9684d59d4923c2eb2e44aa36af\atapi.sys
[-] 2008-04-13 18:40 . !HASH: COULD NOT OPEN FILE !!!!! . 96512 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
"SiSPower"="SiSPower.dll" [2009-10-21 53248]
"RTHDCPL"="RTHDCPL.EXE" [2009-10-21 16804864]
"SMSERIAL"="c:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-21 634880]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\Pietro\Menu Avvio\Programmi\Esecuzione automatica\
Rainmeter.lnk - c:\programmi\Rainmeter\Rainmeter.exe [2006-1-21 118784]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2011 15.22.29 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2011 15.22.29 5248]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13.16.28 130384]
R2 NitroReaderDriverReadSpool;NitroPDFReaderDriverCreatorReadSpool;c:\programmi\Nitro PDF\Reader\NitroPDFReaderDriverService.exe [05/04/2011 22.42.14 196912]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [31/03/2010 6.58.48 342784]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13.16.28 753504]
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - BTHSERV
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-06-12 c:\windows\Tasks\User_Feed_Synchronization-{07CDAF3D-060D-4BAE-BBDD-C80D3B325627}.job
- c:\windows\system32\msfeedssync.exe [2007-01-03 02:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 62.101.93.101 83.103.25.250
FF - ProfilePath - c:\documents and settings\Pietro\Dati applicazioni\Mozilla\Firefox\Profiles\ijk0ecdj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-L&H Power Translator Pro 7.0 - c:\windows\ISUN0410.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-12 20:11
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Ora fine scansione: 2011-06-12 20:12:29
ComboFix-quarantined-files.txt 2011-06-12 18:12
.
Pre-Run: 44.272.947.200 byte disponibili
Post-Run: 44.232.204.288 byte disponibili
.
- - End Of File - - EA629CC96D56683A8758E1AD2CADB95B

[eugenio19911]

IsUn0410.exe non è niente di buono secondo me.
mi spiace non esserti molto di aiuto con combofix (non avendo mai utilizzato il programma essendo che quando ho incominciato a ricercare informazioni e software per la sicurezza avevo già un 64bit e combofix è stato subito scartato),
comunque una scansioe con hitman pro e/o con DrWeb cureit potrebbe aiutare

[Sabbb]

Con Hitman già l'avevo fatta ,e non ha trovato niente.

[hashcat]

IsUn0410.exe non è niente di buono secondo me.

Il file in questione è sicuro :

http://systemexplorer.net/db/isun0410.exe.html

http://www.online-armor.com/oasis2/file/installshield_corporation__inc_/installshield__uninstaller/isun0410_exe/22384

Dal log non ho trovato niente di sospetto.

Il tuo amico potrebbe postare anche il log di hijackthis e magari inserire uno screenshot o i nomi dei file sospetti.

P.S.:

Per un controllo aggiuntivo usa G Data FakeAv Cleaner

E fai un controllo con tdssKiller:

1. Scarica TDSSKiller da qui
2. Esegui TDSSKiller e clicca su "Start Scan"
3. Al termine della scansione verrà mostrata una schermata con i rilevamenti
4. Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
5. Clicca su Next/Continue per applicare le azioni
6. Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
7. Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

[Sabbb]

Il file in questione è sicuro :

Caspiterina,Combo lo ha eliminato. Sai che funzione aveva o a cosa era associato?

Format C

Il tuo amico potrebbe postare anche il log di hijackthis e magari inserire uno screenshot o i nomi dei file sospetti.

P.S.:

Per un controllo aggiuntivo usa G Data FakeAv Cleaner

E fai un controllo con tdssKiller:

Scarica TDSSKiller da qui
Esegui TDSSKiller e clicca su "Start Scan"
Al termine della scansione verrà mostrata una schermata con i rilevamenti
Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
Clicca su Next/Continue per applicare le azioni
Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

Ok,adesso non sono da lui,ma l'ho fatto registrare.Se vuole può interagire e postare Grazie raga

[hashcat]

Caspiterina,Combo lo ha eliminato. Sai che funzione aveva o a cosa era associato?

Format C

La funzione non la so, ti posso solo dire che è l'uninstaller di InstallShield® che è un software a pagamento leader al mondo per la compilazione dei setup dei programmi.

[Sabbb]

La funzione non la so, ti posso solo dire che è l'uninstaller di InstallShield® che è un software a pagamento leader al mondo per la compilazione dei setup dei programmi.

Molto strano Il computer glielo formattato io meno di una settimana fa,e i programmi che tiene sono quelli base. Mah..vediamo se posta un log (il sito glielo messo nei preferiti) Ancora thanks..

[Sabbb]

Ora (che con calma) leggo meglio il log di Combo sto notando che :CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-L&H Power Translator Pro 7.0 - c:\windows\ISUN0410.EXE
Ecco cosa ha eliminato! O mi sbaglio? (e quello glielo installato io:programma di traduzione of line)

[hashcat]

Molto strano Il computer glielo formattato io meno di una settimana fa,e i programmi che tiene sono quelli base. Mah..vediamo se posta un log (il sito glielo messo nei preferiti) Ancora thanks..

La sua presenza nel sistema indica che è stato installato un programma compilato con questo prodotto.
Software famosi composti con questo programma sono Comodo, Boinc e molti altri

EDIT:

Mi hai battuto sul tempo

Probabilmente la rimozione di quella voce non creerà problemi, se hai voglia puoi comunque reinstallare il programma.

[Sabbb]

EDIT:

Mi hai battuto sul tempo

Ma no e solo che quando faccio le cose di fretta ,non vengono mai come dico io,e in ogni caso una controllata dai miei amici non guasta mai

Probabilmente la rimozione di quella voce non creerà problemi, se hai voglia puoi comunque reinstallare il programma.

[hashcat]

Puramente per curiosità personale desidererei avere uno screenshot/log di Trend Micro Fake Antivirus Removal Tool e dei file che rileva come sospetti.

[Sabbb]

Ehmm è stata la prima cosa che ho pensato,lo volevo fare prima,ma quel software ha la funzione log,ma non lo rilascia ( o sempre nella fretta non sono stato capace di salvarlo) Se posso lo rifaccio domani .

[hashcat]

Ehmm è stata la prima cosa che ho pensato,lo volevo fare prima,ma quel software ha la funzione log,ma non lo rilascia ( o sempre nella fretta non sono stato capace di salvarlo) Se posso lo rifaccio domani .

Ok non ti preoccupare è solo una mia curiosità

[eugenio19911]

mi intrometto un pochino sabbb se mi confermi che il software è solo una rogna piena di falsi positivi lo segnalo subito

[Sabbb]

Non lo so,lo userò su altri computer compreso il mio,e farò sapere