Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Possibile malware

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Possibile malware

Messaggioda inesperto » gio ago 25, 2011 3:13 pm

Ciao ho appena fatto la scansione con AVIRA e mi ha rilevato questo file sospetto:

TR/PSW.ZBOT.2258

Qualcuno mi può spiegare se lo conosce e come dovrei muovermi per eventualmente eliminarlo? Ciao e grazie
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda crazy.cat » gio ago 25, 2011 3:22 pm

Sapere il nome di un virus, non serve a niente se non sappiamo dove è stato trovato.
Magari anche un log di hijackthis, o dello stesso avira, aiuta molto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile malware

Messaggioda Ginho » gio ago 25, 2011 3:23 pm

App: https://play.google.com/store/apps/details?id=it.economiasprint
Avatar utente
Ginho
Silver Member
Silver Member
 
Messaggi: 1344
Iscritto il: gio lug 21, 2011 12:28 pm
Località: Ferrara


Re: Possibile malware

Messaggioda inesperto » gio ago 25, 2011 3:43 pm

Eccovi il log di hijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16.47.02, on 25/08/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir Desktop\avscan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\mauro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA6.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF444C03-19C3-4A0C-831E-D0BCED8E5BE1}: NameServer = 208.67.222.222 208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programmi\Windows Live\Mail\mailcomm.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda hashcat » gio ago 25, 2011 4:00 pm

Dal nome della rilevazione posso solo descriverti cosa fa in generale la famiglia degli Zeus.

Zbot è un cavallo di Troia che tenta di
sottrarre informazioni riservate dal
computer infettato (principalmente dati inerenti all'online banking). Il malware è anche in
grado di scaricare dei file di configurazione
e degli aggiornamenti da Internet. Spesso apre delle backdoor che consentono l'accesso non autorizzato e il controllo del computer infetto. Ruba vari dati personali come i cookies dei siti, le password memorizzate, password di account ftp e pop3. Infine il trojan tenta di agganciare le funzioni di
varie DLL per ottenere il controllo delle
funzionalità di rete e per poter sottrarre
informazioni riservate. Dopo aver agganciato le DLL, il malware
filtra il traffico di rete secondo le parole
chiave relative alle banche, ai siti di social
network e a quelli di email Web rubando le credenziali ottenute. Tutte queste informazioni vengono registrate in uno o più file. Il cavallo di Troia trasmette i dati
sottratti agli indirizzi URL specificati nel/nei
file di configurazione.
[fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Possibile malware

Messaggioda hashcat » gio ago 25, 2011 4:05 pm

Hai utilizzato una versione di Hijackthis obsoleta (Logfile of HijackThis v1.99.1). Scarica da qui l'ultima versione e ripeti la scansione inserendo il nuovo log.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Possibile malware

Messaggioda inesperto » gio ago 25, 2011 4:09 pm

Infine ecco il log di avira:

Avira AntiVir Personal
Data del file di report: giovedì 25 agosto 2011 14:38

Ricerca di 3292863 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : MAURO-E03C960A0

Informazioni sulla versione:
BUILD.DAT : 9.0.0.25 21699 Bytes 18/10/2010 14:31:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:26:40
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 09:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 09:15:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 17:03:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 17:11:31
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 16:17:51
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 13:33:24
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 14:16:46
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 10:01:47
VBASE007.VDF : 7.11.13.61 2048 Bytes 16/08/2011 10:01:47
VBASE008.VDF : 7.11.13.62 2048 Bytes 16/08/2011 10:01:47
VBASE009.VDF : 7.11.13.63 2048 Bytes 16/08/2011 10:01:47
VBASE010.VDF : 7.11.13.64 2048 Bytes 16/08/2011 10:01:47
VBASE011.VDF : 7.11.13.65 2048 Bytes 16/08/2011 10:01:48
VBASE012.VDF : 7.11.13.66 2048 Bytes 16/08/2011 10:01:48
VBASE013.VDF : 7.11.13.95 166400 Bytes 17/08/2011 10:01:49
VBASE014.VDF : 7.11.13.125 209920 Bytes 18/08/2011 10:10:36
VBASE015.VDF : 7.11.13.157 184832 Bytes 22/08/2011 10:10:37
VBASE016.VDF : 7.11.13.201 128000 Bytes 24/08/2011 10:10:38
VBASE017.VDF : 7.11.13.202 2048 Bytes 24/08/2011 10:10:38
VBASE018.VDF : 7.11.13.203 2048 Bytes 24/08/2011 10:10:38
VBASE019.VDF : 7.11.13.204 2048 Bytes 24/08/2011 10:10:39
VBASE020.VDF : 7.11.13.205 2048 Bytes 24/08/2011 10:10:39
VBASE021.VDF : 7.11.13.206 2048 Bytes 24/08/2011 10:10:39
VBASE022.VDF : 7.11.13.207 2048 Bytes 24/08/2011 10:10:39
VBASE023.VDF : 7.11.13.208 2048 Bytes 24/08/2011 10:10:39
VBASE024.VDF : 7.11.13.209 2048 Bytes 24/08/2011 10:10:40
VBASE025.VDF : 7.11.13.210 2048 Bytes 24/08/2011 10:10:40
VBASE026.VDF : 7.11.13.211 2048 Bytes 24/08/2011 10:10:40
VBASE027.VDF : 7.11.13.212 2048 Bytes 24/08/2011 10:10:41
VBASE028.VDF : 7.11.13.213 2048 Bytes 24/08/2011 10:10:41
VBASE029.VDF : 7.11.13.214 2048 Bytes 24/08/2011 10:10:41
VBASE030.VDF : 7.11.13.215 2048 Bytes 24/08/2011 10:10:41
VBASE031.VDF : 7.11.13.221 47616 Bytes 25/08/2011 10:10:42
Motore : 8.2.6.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 15:54:22
AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 11/08/2011 17:32:36
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 09:00:30
AESBX.DLL : 8.2.1.34 323957 Bytes 01/06/2011 19:58:54
AERDL.DLL : 8.1.9.13 639349 Bytes 21/07/2011 11:06:41
AEPACK.DLL : 8.2.9.5 676214 Bytes 21/07/2011 11:06:30
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 04/08/2011 12:00:35
AEHEUR.DLL : 8.1.2.155 3617144 Bytes 18/08/2011 10:02:06
AEHELP.DLL : 8.1.17.7 254327 Bytes 04/08/2011 12:00:29
AEGEN.DLL : 8.1.5.7 401778 Bytes 11/08/2011 17:31:09
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 09:00:28
AECORE.DLL : 8.1.22.4 196983 Bytes 21/07/2011 11:04:59
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 13:05:24
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:14:06
AVREP.DLL : 10.0.0.9 174120 Bytes 10/03/2011 12:50:16
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:11:50
RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 06:16:42

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: giovedì 25 agosto 2011 14:38

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '76400' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SAgent2.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DKService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'cmdagent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'qttask.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'cfp.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
25 processi scansionati con '25' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 51 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\hiberfil.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{BEA823BB-D412-4D03-B6AE-0FB68BB961BA}\RP366\A1888395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/PSW.Zbot.2258

Avvio della disinfezione:
C:\System Volume Information\_restore{BEA823BB-D412-4D03-B6AE-0FB68BB961BA}\RP366\A1888395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/PSW.Zbot.2258
[NOTA] Il file è stato spostato in quarantena con il nome '4e8e66af.qua'!


Fine della scansione: giovedì 25 agosto 2011 17:13
Tempo impiegato: 2:32:22 Ora(e)

La scansione è stata completamente eseguita.

5731 Directory scansionate
327479 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
2 Impossibile scansionare i file
327476 File non infetti
1476 Archivi scansionati
2 Avvisi
3 Note
76400 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti


Attendo vostre indicazioni
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda inesperto » gio ago 25, 2011 4:18 pm

Eccovi il log con la versione aggiornata:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.23.06, on 25/08/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA6.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF444C03-19C3-4A0C-831E-D0BCED8E5BE1}: NameServer = 208.67.222.222 208.67.220.220
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 6389 bytes
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda crazy.cat » gio ago 25, 2011 5:31 pm

Era nel ripristino configurazione ed è stato rimosso direttamente da avira.
inesperto ha scritto:C:\System Volume Information\_restore{BEA823BB-D412-4D03-B6AE-0FB68BB961BA}\RP366\A1888395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/PSW.Zbot.2258

Avvio della disinfezione:
C:\System Volume Information\_restore{BEA823BB-D412-4D03-B6AE-0FB68BB961BA}\RP366\A1888395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/PSW.Zbot.2258
[NOTA] Il file è stato spostato in quarantena con il nome '4e8e66af.qua'!


Hijackthis è a posto se non fosse che manca il sp3 di xp e c'è anche una vecchia versione di adobe e sarebbero da aggiornare tutte e due.

La prossima volta usa il tasto memo per inserire i log topic45943.html
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile malware

Messaggioda inesperto » gio ago 25, 2011 7:14 pm

Chiedo scusa ma non sapevo dell'esistenza del tasto memo... quindi posso stare tranquillo e usare password ecc? Vi ringrazio ciao
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda Berga95 » gio ago 25, 2011 7:55 pm

Sì, puoi stare tranquillo; ma vedi di aggiornare al SP3 Windows e di aggiornare Adobe!
Ormai Windows XP SP2 non è più supportato da Microsoft da un anno, mi pare... [uhm]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile malware

Messaggioda inesperto » gio set 01, 2011 2:12 pm

Dopo una settimana sono tornato a fare una scansione e mi ha rilevato un altro trojan credo... vi posto il log di avira :

Avira AntiVir Personal
Data del file di report: giovedì 1 settembre 2011 12:35

Ricerca di 3319640 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : MAURO-E03C960A0

Informazioni sulla versione:
BUILD.DAT : 9.0.0.25 21699 Bytes 18/10/2010 14:31:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:26:40
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 09:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 09:15:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 17:03:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 17:11:31
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 16:17:51
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 13:33:24
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 14:16:46
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 10:01:47
VBASE007.VDF : 7.11.13.61 2048 Bytes 16/08/2011 10:01:47
VBASE008.VDF : 7.11.13.62 2048 Bytes 16/08/2011 10:01:47
VBASE009.VDF : 7.11.13.63 2048 Bytes 16/08/2011 10:01:47
VBASE010.VDF : 7.11.13.64 2048 Bytes 16/08/2011 10:01:47
VBASE011.VDF : 7.11.13.65 2048 Bytes 16/08/2011 10:01:48
VBASE012.VDF : 7.11.13.66 2048 Bytes 16/08/2011 10:01:48
VBASE013.VDF : 7.11.13.95 166400 Bytes 17/08/2011 10:01:49
VBASE014.VDF : 7.11.13.125 209920 Bytes 18/08/2011 10:10:36
VBASE015.VDF : 7.11.13.157 184832 Bytes 22/08/2011 10:10:37
VBASE016.VDF : 7.11.13.201 128000 Bytes 24/08/2011 10:10:38
VBASE017.VDF : 7.11.13.234 160768 Bytes 25/08/2011 10:24:52
VBASE018.VDF : 7.11.14.16 141312 Bytes 30/08/2011 10:24:54
VBASE019.VDF : 7.11.14.48 133120 Bytes 31/08/2011 10:24:55
VBASE020.VDF : 7.11.14.49 2048 Bytes 31/08/2011 10:24:55
VBASE021.VDF : 7.11.14.50 2048 Bytes 31/08/2011 10:24:56
VBASE022.VDF : 7.11.14.51 2048 Bytes 31/08/2011 10:24:57
VBASE023.VDF : 7.11.14.52 2048 Bytes 31/08/2011 10:24:58
VBASE024.VDF : 7.11.14.53 2048 Bytes 31/08/2011 10:24:59
VBASE025.VDF : 7.11.14.54 2048 Bytes 31/08/2011 10:24:59
VBASE026.VDF : 7.11.14.55 2048 Bytes 31/08/2011 10:24:59
VBASE027.VDF : 7.11.14.56 2048 Bytes 31/08/2011 10:25:00
VBASE028.VDF : 7.11.14.57 2048 Bytes 31/08/2011 10:25:00
VBASE029.VDF : 7.11.14.58 2048 Bytes 31/08/2011 10:25:01
VBASE030.VDF : 7.11.14.59 2048 Bytes 31/08/2011 10:25:01
VBASE031.VDF : 7.11.14.62 3584 Bytes 01/09/2011 10:25:01
Motore : 8.2.6.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 15:54:22
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 01/09/2011 10:25:17
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 09:00:30
AESBX.DLL : 8.2.1.34 323957 Bytes 01/06/2011 19:58:54
AERDL.DLL : 8.1.9.13 639349 Bytes 21/07/2011 11:06:41
AEPACK.DLL : 8.2.10.9 684406 Bytes 01/09/2011 10:25:14
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 04/08/2011 12:00:35
AEHEUR.DLL : 8.1.2.161 3641720 Bytes 01/09/2011 10:25:12
AEHELP.DLL : 8.1.17.7 254327 Bytes 04/08/2011 12:00:29
AEGEN.DLL : 8.1.5.9 401780 Bytes 01/09/2011 10:25:05
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 09:00:28
AECORE.DLL : 8.1.23.0 196983 Bytes 01/09/2011 10:25:03
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 13:05:24
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:14:06
AVREP.DLL : 10.0.0.9 174120 Bytes 10/03/2011 12:50:16
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:11:50
RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 06:16:42

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: giovedì 1 settembre 2011 12:35

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '69494' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DfrgNTFS.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'qttask.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'cfp.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WgaTray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SAgent2.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'DKService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'cmdagent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
29 processi scansionati con '29' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 51 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\hiberfil.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\Documents and Settings\mauro\Dati applicazioni\Weurdi\keuz.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen

Avvio della disinfezione:
C:\Documents and Settings\mauro\Dati applicazioni\Weurdi\keuz.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4ed480d9.qua'!


Fine della scansione: giovedì 1 settembre 2011 14:54
Tempo impiegato: 2:18:11 Ora(e)

La scansione è stata completamente eseguita.

5806 Directory scansionate
322132 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
2 Impossibile scansionare i file
322129 File non infetti
1502 Archivi scansionati
2 Avvisi
3 Note
69494 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti


Potete dirmi cos'è quel trojan e poi vi chiedo una cosa cm posso prendere trojan se vado sempre sui soliti siti tranquilli?
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda Berga95 » gio set 01, 2011 4:26 pm

inesperto ha scritto:cm posso prendere trojan se vado sempre sui soliti siti tranquilli?

Chiavette USB infette, file da p2p, etc...

Se dici che il pc si comporta in maniera anomala (rallentamenti, crash, etc.) possiamo indagare più a fondo, se lo ritieni necessario fai una scansione con HijackThis e posta qua il log... comunque non mi preoccuperei troppo.

inesperto ha scritto:Versione di Windows : (Service Pack 2) [5.1.2600]

Aggiorna al sp3, come ti ho già detto nel precedente post.
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile malware

Messaggioda inesperto » gio set 01, 2011 5:06 pm

Ecco il log di hijacks:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.11.01, on 01/09/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA6.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF444C03-19C3-4A0C-831E-D0BCED8E5BE1}: NameServer = 208.67.222.222 208.67.220.220
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 6508 bytes


Scusa l'ignoranza ma cosa vuol dire e come si fa ad aggiornare Sp3?
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda hashcat » ven set 02, 2011 10:21 am

inesperto ha scritto:Potete dirmi cos'è quel trojan

Il nome della rilevazione è generico quindi senza altri dettagli non posso descriverti cosa fa.
inesperto ha scritto:poi vi chiedo una cosa cm posso prendere trojan se vado sempre sui soliti siti tranquilli?

E' probabile che questo trojan fosse già presente sul tuo computer da un po' (magari insieme a quello precedente) ed è stato rilevato solo ora da Avira in seguito agli aggiornamenti del database.

[fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Possibile malware

Messaggioda inesperto » ven set 02, 2011 12:36 pm

Ma in base ai log che vi ho inviato come vi sembra la situazione?
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda Berga95 » ven set 02, 2011 12:41 pm

inesperto ha scritto:Ma in base ai log che vi ho inviato come vi sembra la situazione?

I log sono puliti.
inesperto ha scritto:Scusa l'ignoranza ma cosa vuol dire e come si fa ad aggiornare Sp3?

[search] C'è un articolo nel portale.
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Possibile malware

Messaggioda inesperto » dom set 04, 2011 10:08 pm

Scusate se intervengo ancorama proprio stasera l'antivirus guard di avira mi ha segnalato questo:

Nel file 'C:\System Volume Information\_restore{BEA823BB-D412-4D03-B6AE-0FB68BB961BA}\RP378\A1903405.exe'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.XPACK.Gen' [trojan].
Azione eseguita: Nega accesso

Il bello che non stavo navigando su nessun sito... comunque visto che con quei log nn abbiamo risolto il problema potete darmi altri strumenti per risolverlo del tutto?
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Re: Possibile malware

Messaggioda crazy.cat » lun set 05, 2011 4:47 am

System Volume Information è la cartella dei salvataggi dei punti di ripristino di windows, aveva salvato il malware li dentro, magari da tempo, e se ne è accorto adesso.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Possibile malware

Messaggioda inesperto » lun set 05, 2011 11:50 am

Ma un modo per eliminarlo del tutto c'è? perché dopo 2 giorni che lo elimino mi ricompare sempre
Avatar utente
inesperto
Senior Member
Senior Member
 
Messaggi: 313
Iscritto il: dom apr 10, 2005 4:10 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising