www.MegaLab.it

[thread.net]

Ciao a tutti.. dispiace sentirsi solo per certe cose.... ma è un po' che non programmo ed ho perso l'abitudine di postare....

Ho un problemino con un eseguibile;
VirusTotal mi dice che è : Win32:Sefnit-CG, oppure Backdoor.Win32.Undef.tel oppure TrojanDownloader.Agent.spyg
(se volete vi posto tutto).
Norton Antivirus mi dice che non ho problemi....

Questo è il log di HijackThis. GRAZIE

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:15:05, on 10/07/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.jzip.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:14000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: jZip Toolbar - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\IPS\IPSBHO.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-2411656598-1775660867-1678850092-1005\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '####')
O4 - HKUS\S-1-5-21-2411656598-1775660867-1678850092-1005\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '####')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Program Files\PokerStars.IT\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlcdnet.asus.com/pub/ASUS/misc/d ... .2.5.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs:
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: lxcc_device - - C:\Windows\system32\lxcccoms.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe

--
End of file - 5123 bytes

[crazy.cat]

Dal log non si vede niente, che problemi hai con il pc?
Questo eseguibile lo hai usato?
Posta il link di virustotal.

[eugenio19911]

fixare

Codice: Seleziona tutto

   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.jzip.com/
in modo da riportare la tua pagina iniziale
   
voci inutili:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)

se la toolbar ti serve altrimenti:
O2 - BHO: jZip Toolbar - {1e48c56f-08cd-43aa-a6ef-c1ec891551ab} - (no file)

niente di pericoloso però

[thread.net]

Codice: Seleziona tutto

AhnLab-V3    2011.07.11.00    2011.07.10    Malware/Win32.Generic
AntiVir    7.11.11.45    2011.07.08    -
Antiy-AVL    2.0.3.7    2011.07.10    -
Avast    4.8.1351.0    2011.07.10    Win32:Sefnit-CG
Avast5    5.0.677.0    2011.07.10    Win32:Sefnit-CG
AVG    10.0.0.1190    2011.07.10    Generic23.BANF
BitDefender    7.2    2011.07.10    Gen:Variant.Sefnit.2
CAT-QuickHeal    11.00    2011.07.10    -
ClamAV    0.97.0.0    2011.07.10    -
Commtouch    5.3.2.6    2011.07.09    -
Comodo    9337    2011.07.10    -
DrWeb    5.0.2.03300    2011.07.10    -
Emsisoft    5.1.0.8    2011.07.10    Gen.Variant.Buzy!IK
eSafe    7.0.17.0    2011.07.07    -
eTrust-Vet    36.1.8434    2011.07.08    -
F-Prot    4.6.2.117    2011.07.09    -
F-Secure    9.0.16440.0    2011.07.10    Gen:Variant.Sefnit.2
Fortinet    4.2.257.0    2011.07.10    -
GData    22    2011.07.10    Gen:Variant.Sefnit.2
Ikarus    T3.1.1.104.0    2011.07.10    Gen.Variant.Buzy
Jiangmin    13.0.900    2011.07.09    -
K7AntiVirus    9.108.4891    2011.07.10    -
Kaspersky    9.0.0.837    2011.07.10    -
McAfee    5.400.0.1158    2011.07.10    -
McAfee-GW-Edition    2010.1D    2011.07.09    -
Microsoft    1.7000    2011.07.10    -
NOD32    6281    2011.07.10    -
Norman    6.07.10    2011.07.10    -
nProtect    2011-07-10.01    2011.07.10    Gen:Variant.Sefnit.2
Panda    10.0.3.5    2011.07.10    -
PCTools    8.0.0.5    2011.07.08    -
Prevx    3.0    2011.07.10    -
Rising    23.65.04.03    2011.07.08    Backdoor.Win32.Undef.tel
Sophos    4.67.0    2011.07.10    -
SUPERAntiSpyware    4.40.0.1006    2011.07.09    -
Symantec    20111.1.0.186    2011.07.10    -
TheHacker    6.7.0.1.252    2011.07.10    Trojan/Downloader.Agent.spyg
TrendMicro    9.200.0.1012    2011.07.10    -
TrendMicro-HouseCall    9.200.0.1012    2011.07.10    -
VBA32    3.12.16.4    2011.07.08    TrojanDownloader.Agent.spyg
VIPRE    9823    2011.07.10    -
ViRobot    2011.7.9.4560    2011.07.10    -
VirusBuster    14.0.116.0    2011.07.09    -


Si, ho avviato l'eseguibile e mi è uscito solo un "backdoor.log" (che non ti posto xchè l'ho cestinato ) ma poi più nulla; x ora nessun problema al pc però volevo solo essere sicuro.

Googlando un po' ho trovato che quel "Explorer.EXE" con la exe maiuscola può essere pericoloso.. basta fixarlo con HJack secondo te crazy.cat ?
Seguirò il tuo consiglio eugenio19911.....

Ciao a tutti e grazie

[crazy.cat]

mi è uscito solo un "backdoor.log"

Che brutto nome....
Se non hai problemi a scaricare io mi farei un controllo da cd live con gdata
http://www.gdata.ch/typo3conf/ext/dam_f ... docID=4196
masterizzi l'iso e fai il boot da cd.

Googlando un po' ho trovato che quel "Explorer.EXE" con la exe maiuscola può essere pericoloso.. basta fixarlo con HJack secondo te crazy.cat ?

No, lascialo stare.

[thread.net]

scaricato gdata e masterizzato ma la iso ad un certo punto si blocca (ho provato in modo normale e alternativo)... per cui ...nulla!
Sto provando con diversi anti-virus e se mi esce qualcosa te lo comunico... Grazie! alla prossima

[Hpmezzo]

O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Program Files\PokerStars.IT\PokerStarsUpdate.exe
Non conosciuto![!!!]