Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Comportamento anomalo

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Comportamento anomalo

Messaggioda Sabbb » mer giu 15, 2011 7:36 pm

Computer acceso da 10 minuti (Seven) mentre sto facendo le mie cose (normale amministrazione-posta ecc) mi accorgo che Comodo scompare dalla tray (C'è l'impostazione mostra icona e notifiche) al che controllo meglio e vedo che non è neanche nascosto (praticamente spariito) e Avira ha il Guard disattivato;riavvio e tutto procede regolarmente.Al momento sto facendo controlli incrociati,ma non trovate che la cosa è strana non poco? Due programmi insieme (e per di più programmi per la protezione) disattivati?
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda Sabbb » mer giu 15, 2011 8:06 pm

Niente,dall'antivirus,passando per malwarebytes,hij Hitman Pro rusulta tutto ok,eppure strana coincidenza [uhm]
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda Berga95 » mer giu 15, 2011 8:16 pm

[uhm] [uhm] Posta il log di HijackThis... Giusto per controllare che non ti sia sfuggito nulla...
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso


Re: Comportamento anomalo

Messaggioda Sabbb » mer giu 15, 2011 8:19 pm

[^]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:22:17, on 15/06/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\DatacardService\DCSHelper.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mobile Partner\Mobile Partner.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\CCleaner-backup e Hij\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DAADD38-F971-4B99-8E94-412064E482C3}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{496719D1-1802-4812-B1C0-C456AC3EA652}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A368BCF-4A81-4A3B-B9E0-3CFE3048FE0E}: NameServer = 198.153.192.1,198.153.194.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{829A976D-5FE9-40B5-AB04-802EE0DB8031}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{C75A5C6F-888E-4D84-99B5-CE37C5C288D2}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA22142-229C-4909-A584-22175137DE89}: NameServer = 198.153.192.1,198.153.194.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\guard32.dll C:\Windows\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: DCService.exe - Unknown owner - C:\ProgramData\DatacardService\DCService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda CRYPAX » mer giu 15, 2011 10:04 pm

questo file non saprei
Codice: Seleziona tutto
C:\ProgramData\DatacardService\DCSHelper.exe

controllalo per sicurezza su VT
per il resto log pulito [^]
notavo questi
Codice: Seleziona tutto
198.153.194.1 ,198.153.192.1

ma sono i dns Norton
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: Comportamento anomalo

Messaggioda Nichi » mer giu 15, 2011 10:23 pm

CRY >< PAX ha scritto:... notavo questi
Codice: Seleziona tutto
198.153.194.1 ,198.153.192.1

ma sono i dns Norton


[8D]
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comportamento anomalo

Messaggioda Sabbb » mer giu 15, 2011 10:30 pm

CRY >< PAX ha scritto:questo file non saprei
Codice: Seleziona tutto
C:\ProgramData\DatacardService\DCSHelper.exe

controllalo per sicurezza su VT
per il resto log pulito [^]
Mi pare fare parte della Key Wind (Mobil Partner)

notavo questi
Codice: Seleziona tutto
198.153.194.1 ,198.153.192.1

ma sono i dns Norton
Si sono loro. Strano:mai capitato..Domani faccio altri controlli [grazie]
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 1:31 pm

Unica rilevazione Immagine
Tra poco vedo se Gmer termina la sua scansione. (Appena fatto un controllo con Prevx e tutto regolare)
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 1:34 pm

Per il momento Immagine
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 1:45 pm

Come potrei procedere adesso? Immagine
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda crazy.cat » gio giu 16, 2011 2:06 pm

Sabbb ha scritto:Come potrei procedere adesso? Immagine

La dll rootkit è una componente di prevx.

Hai provato a reinstallarli i due programmi?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 2:14 pm

crazy.cat ha scritto:
La dll rootkit è una componente di prevx.

Hai provato a reinstallarli i due programmi?
In realtà non li tengo installati in maniera definitiva questi programmi; quindi anche adesso li ho installati poco prima di Gmer per fare un controllo. Se siamo sicuri che appartiene a Prevx l'avviso per il file in questione siamo a posto ? (se mi dai conferma del file mi fai un favore)
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda hashcat » gio giu 16, 2011 2:16 pm

Il file dovrebbe appartenere a Prevx:

http://www.wilderssecurity.com/showthread.php?t=257844

Per sicurezza zippalo e caricalo su MediaFire e inserisci qui il link così facciamo qualche verifica aggiuntiva. [^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 2:22 pm

Fatto copia incolla (per cercare il file ) dal log di Gmer,anche se vedo che la dicitura numerica sembra essere diversa [uhm]
ad ogni modo ecco il file (caricato già su VT) https://rapidshare.com/files/1261464224/PxSecure.rar
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda hashcat » gio giu 16, 2011 2:26 pm

Ora controllo meglio ma ad occhio dire che è sicuro (possiede la firma digitale di Prevx valida):

Immagine

EDIT: Il file è sicuro [^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 2:31 pm

Faccio una cosa (tanto la dovevo fare già)
Faccio il ripristino immagine con Acronis,e riscansiono con Gmer ; in quella immagine non c'è traccia di Prevx perché mai installato (ma mi fido comunque,e se no non avrei chiesto a voi [;)] ) e vediamo cosa esce fuori.
Ad ogni modo non mi capacito per l'accaduto: Avira e Comodo disabilitati nello stesso momento [uhm]
Non vorrei avessi beccato qualche vermiciattolo supernuovo.
A dopo..
Thanks.......
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: Comportamento anomalo

Messaggioda sampei.nihira » gio giu 16, 2011 2:43 pm

Oltretutto Prevx è stata acquisita da Webroot.
Chi vuole fare il beta tester per il nuovo prodotto (che mi sembra stia risquotendo anche all'estero pareri iniziali favorevoli):


http://info.webrootcloudav.com/betasignup.asp
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Comportamento anomalo

Messaggioda Sabbb » gio giu 16, 2011 7:25 pm

Bene,questo è il Gmer .


Immagine


Adesso una controllata con

Immagine
e avrei finito (povero HD [ehm] ) ..Come sempre [grazie]
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising