Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Problemi privilegi con software antimalware (Log HijackThis)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
madvero
Amministratore
Amministratore


Registrato: 05/07/05 21:42
Messaggi: 19510
Residenza: Sono brusco con voi solo perchè il tempo è a sfavore. Penso in fretta, quindi parlo in fretta

MessaggioInviato: 16 Mar 2007 18:45    Oggetto: Rispondi citando

Cybion ha scritto:
è più facile a farsi che a leggersi vero ??

assolutamente sì.
mi raccomando di disattivare il ripristino configurazione di sistema di windows.
Top
Profilo Invia messaggio privato
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 16 Mar 2007 22:15    Oggetto: Rispondi citando

più tardi applicherò le procedure consigliatemi da Smjert e da madvero..
intanto finalmente è finito lo scan di kaspersky.. di cui posto il log:

Friday, March 16, 2007 8:27:09 PM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 16/03/2007
Kaspersky Anti-Virus database records: 266348


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 67742
Number of viruses found 1
Number of infected objects 2 / 0
Number of suspicious objects 0
Duration of the scan process 02:59:07

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\Paramete.evt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Temp\ZLT051a0.TMP Object is locked skipped

C:\WINDOWS\Temp\ZLT051ad.TMP Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Debug\oakley.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\ModemLog_HSP56 MR.txt Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped

C:\WINDOWS\Internet Logs\LUCILLA.ldb Object is locked skipped

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\avg7\Log\emc.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Lucilla\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Lucilla\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Lucilla\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Lucilla\Impostazioni locali\Cronologia\History.IE5\MSHist012007031620070317\index.dat Object is locked skipped

C:\Documents and Settings\Lucilla\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Lucilla\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Lucilla\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Lucilla\Cookies\index.dat Object is locked skipped

C:\Programmi\File comuni\System\com2.exe Object is locked skipped

C:\SDFix\backups\backups.zip/backups/TFTP2688 Infected: Net-Worm.Win32.Lovesan.a skipped

C:\SDFix\backups\backups.zip ZIP: infected - 1 skipped

Scan process completed.

va meglio?

Think
Top
Profilo Invia messaggio privato MSN
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 16 Mar 2007 22:31    Oggetto: Rispondi citando

Sì il log è pulito, come puoi vedere i virus trovati stanno nel backup di SDFix quindi non sono pericolosi (sono quelli che hai rimosso).
Top
Profilo Invia messaggio privato HomePage
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 16 Mar 2007 22:31    Oggetto: Rispondi citando

ciao!
Citazione:
va meglio?

molto!!
quel virus Kaspersky lo trova nella cartella backup di SDFix. Basta eliminare la cartella e il tuo PC è pulito!
scarica CCleaner e dai una pulita generale, ma priva vai su opzioni/avanzate e togli la spunta a "cancella i files temp di windows solo se più vecchi di 48 ore"

Ciao

ehi Smjert abbiamo postato insieme!! Sbonk
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 16 Mar 2007 23:00    Oggetto: Rispondi citando

Mamma mia ma allora mi stai proprio incollata!

Scherzoo!! :***



Scusate l'OT.
Top
Profilo Invia messaggio privato HomePage
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 16 Mar 2007 23:29    Oggetto: Rispondi citando

Smjert ha scritto:
Mamma mia ma allora mi stai proprio incollata!


INCOLLATA A CHI??? Evil or Very Mad Evil or Very Mad Evil or Very Mad
Prrr
Very Happy
Top
Profilo Invia messaggio privato
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 17 Mar 2007 02:32    Oggetto: Rispondi citando

mi stavo accingendo ad applicare la strategia di madvero.. quando.. ops.. mi son resa conto che ci son due punti per i quali non so bene quale sia la procedura migliore da applicare:

madvero ha scritto:

prima mossa: back up del registro, che non si sa mai.
seconda mossa: disattivazione del ripristino configurazione di sistema.


ammetto ancora una volta la mia ignoranza.. ma anche se più o meno so come si dovrebbero fare queste due mosse.. preferirei seguire la procedura migliore consigliata da voi.. Embarassed

grazie mille per la pazienza infinita !!
Very Happy
Top
Profilo Invia messaggio privato MSN
madvero
Amministratore
Amministratore


Registrato: 05/07/05 21:42
Messaggi: 19510
Residenza: Sono brusco con voi solo perchè il tempo è a sfavore. Penso in fretta, quindi parlo in fretta

MessaggioInviato: 17 Mar 2007 14:36    Oggetto: Rispondi citando

backup registro:

start ->
run ->
regedit ->
file ->
esporta ->
salva.

disattivazione rispristino configurazione di sistema:

sull'icona risorse del computer, tasto destro del mouse ->
proprietà ->
liguetta ripristino configurazione di sistema ->
check su disattiva ripristino configurazione di sistema su tutte le unità.
Top
Profilo Invia messaggio privato
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 17 Mar 2007 20:58    Oggetto: Rispondi citando

solo ora ho potuto connettermi.. e quindi ancora non ho applicato la procedura di madvero..
in compenso ho fatto l'accesso come System secondo le indicazioni di Smjert, e in effetti entrando cosi quei programmi che mi dan i messaggi della mancanza delle autorizzazioni da admin funzionano.. lio ho lanciati ma non han cmq trovato nulla..

in compenso ho un nuovo log di hijack che mi ha un po' inquietato, eccolo:

Logfile of HijackThis v1.99.1
Scan saved at 17.26.42, on 17/03/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATKOSD.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Lucilla\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S127.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S12E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin5.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: interceptor.dll,c:\progra~1\google\google~1\goec62~1.dll c:\progra~1\google\google~1\goec62~1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


ho evidenziato in rosso le cose che mi son parse strane.. ma ovvio che aspetto una vostra lettura generale del log.. io ancora non ci capisco moltissimo..

ancora una volta, grazie mille
Ciao
Top
Profilo Invia messaggio privato MSN
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 17 Mar 2007 21:08    Oggetto: Rispondi citando

Il log, a parte questa voce (da fixare), è a posto:
Citazione:
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)


Ati2evxx.exe è un programma Ati..
Top
Profilo Invia messaggio privato HomePage
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 18 Mar 2007 02:32    Oggetto: Rispondi citando

Smjert ha scritto:
Il log, a parte questa voce (da fixare), è a posto:
Citazione:
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)


questo l'ho fixato

Citazione:
Ati2evxx.exe è un programma Ati..


questo l'ho evidenziato pur sapendo che è della Ati, perchè con madvero avevamo notato già C:\WINDOWS\System32\atiptaxx.exe che sembrerebbe appartenere alla Ati ma dal percorso che madvero trova .. poco ortodosso..
e poi proprio quel file (atiptaxx.exe) mi viene continuamente rilevato da a-squared come infetto da Trojan.Dropper.. a ogni scansione viene messo in quarantena.. e a ogni scansione si ripresenta.. Damn!


ho fatto tutta la procedura che mi ha indicato madvero con spybot:

alla scansione non rileva nulla..

in effetti c'erano un paio di voci spuntate in ignora prodotti (alla linguetta PUPS.sbi erano spuntati CDilla e SideStep)..

sui processi.. non so.. ci son cose che.. non so se vanno bene o no.. Think
a esempio che ci sono due svchost.exe.. è normale?

per l'esecuzione automatica, anche lì ci son cose che io trovo strane ma che magari van bene.. sono quelle che appaiono in fondo, alla fine delle applicazioni in esecuzione automatica..

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll


poi c'è la voce Located: Esecuzione automatica (disattivata), Microsoft Office (DISABLED)
command: "C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
file: C:\Programmi\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5bc65464354a9fd3beaa28e18839734a
nella descrizione di spybot viene spiegata con tre voci diverse, una delle quali come possibile malware.. o una cosa simile.. è possibile ???

ultima cosa: quando sono andata a disattivare il ripristino configurazioni di sistema, ho scoperto che.. era già disattivato !!!
ma di certo io non l'ho mai fatto ....

Grazie
Top
Profilo Invia messaggio privato MSN
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 18 Mar 2007 12:33    Oggetto: Rispondi citando

Ma attenzione che Ati2evxx.exe (leggitimo) è diverso da atiptaxx.exe (malware per la posizione in cui si trova, perchè se fosse in C:\Programmi\ATI Technologies\ATI Control Panel\ sarebbe legittimo).
Se ti si ripresenta caricalo su questo sito www.virustotal.com (premi Sfoglia, seleziona il file, dai ok, premi Send, aspetta che tutti gli antivirus analizzino il file e poi posta il risultato) così sappiamo esattamente cos'è.
Top
Profilo Invia messaggio privato HomePage
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 18 Mar 2007 16:31    Oggetto: Rispondi citando

sto facendo la scansione con virustotal..

intanto torno su un punto che avevo notato nel post di stanotte..

Citazione:
Located: Esecuzione automatica (disattivata), Microsoft Office (DISABLED)
command: "C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
file: C:\Programmi\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5bc65464354a9fd3beaa28e18839734a


son andata a rivedere come descrive spybot questa voce, vi posto le tre descrizioni:
Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Valore MS Office
Status database di solito non necessario
Nome file Osa.exe, Osa9.exe
Descrizione Spreco di risorse che avvia i componenti condivisi di MS Office [...]

Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Valore Microsoft Office
Status database di solito non necessario
Nome file Msoffice.exe
Descrizione Scorciatoia alternativa a Start/Programma [...]

Nome file corrente C:\Programmi\Microsoft Office\Office10\OSA.EXE" -b -l
Status database non necessario: virus, spyware, malware o altro spreco di risorse
Valore Microsoft Office
Nome file MSMSGR.exe
Descrizione aggiunto dal virus GAOBOT.BB


Incupito
Top
Profilo Invia messaggio privato MSN
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 18 Mar 2007 16:36    Oggetto: Rispondi citando

ho fatto la scansione sul sito virustotal..
strano.. molto strano.. non viene rilevato assolutamente nulla:

STATUS: FINISHEDComplete scanning result of "atiptaxx.exe", received in VirusTotal at 03.18.2007, 15:21:08 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 no virus found
AntiVir 7.3.1.43 03.17.2007 no virus found
Authentium 4.93.8 03.17.2007 no virus found
Avast 4.7.936.0 03.16.2007 no virus found
AVG 7.5.0.447 03.17.2007 no virus found
BitDefender 7.2 03.18.2007 no virus found
CAT-QuickHeal 9.00 03.15.2007 no virus found
ClamAV 0.90.1 03.18.2007 no virus found
DrWeb 4.33 03.18.2007 no virus found
eSafe 7.0.14.0 03.16.2007 no virus found
eTrust-Vet 30.6.3486 03.16.2007 no virus found
Ewido 4.0 03.18.2007 no virus found
FileAdvisor 1 03.18.2007 No threat detected
Fortinet 2.85.0.0 03.18.2007 no virus found
F-Prot 4.3.1.45 03.17.2007 no virus found
F-Secure 6.70.13030.0 03.17.2007 no virus found
Ikarus T3.1.1.3 03.18.2007 no virus found
Kaspersky 4.0.2.24 03.18.2007 no virus found
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.18.2007 no virus found
NOD32v2 2125 03.18.2007 no virus found
Norman 5.80.02 03.16.2007 no virus found
Panda 9.0.0.4 03.18.2007 no virus found
Prevx1 V2 03.18.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.18.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.18.2007 no virus found
VirusBuster 4.3.7:9 03.18.2007 no virus found


Aditional Information
File size: 286720 bytes
MD5: 5e258ab8bf33698a7d2a60fcffd96943
SHA1: 18b11b99ce2d556db870810f6bd9ffb0c3a0f3cc
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=5e258ab8bf33698a7d2a60fcffd96943

eppure a-squared continua a rilevarlo come Trojan-Dropper, lo isola in quarantena, ma alla nuova scansione lo ritrova nuovamente.. un giro vizioso insomma..
Top
Profilo Invia messaggio privato MSN
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 19 Mar 2007 15:52    Oggetto: Rispondi citando

stamattina ho aggiornato AVG free e ho provato a fare una scansione.
in sè non ha trovato nulla, ma mi rileva questo:

C:WINDOWS\System32\drivers\etc\hosts --> Status result changed

è un altro sintomo di cui preoccuparmi o è normale?

grazie Smile
Top
Profilo Invia messaggio privato MSN
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 19 Mar 2007 16:30    Oggetto: Rispondi citando

No, non è normale.
Il file hosts serve per bloccare i siti (mettendo l'url) oppure redirezionare.

Prova a scaricare questo file Hosts, funziona come una blacklist dei siti di adware e spyware.
Ogni un tot riscaricatelo (tipo ogni mese) perchè lo aggiornano continuamente.
Per installarlo:
Decomprimi l'archivio dove vuoi, fai doppioclick su mvps.bat e quando appare la finestra con lo sfondo blu dai invio.
Di solito il file hosts su Windows è vuoto, se supera i 135kb (dice nella guida) potrebbe rallentare un pochino il pc, per evitare questo vai sulla barra di avvio Start->Esegui->digita services.msc, trova la voce Client DNS, fai click sopra con il destro->Proprietà, dove c'è Tipo di avvio: seleziona Manuale, premi poi Applica, Ok, riavvia il pc.
Dimmi poi come va!
Top
Profilo Invia messaggio privato HomePage
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 19 Mar 2007 19:07    Oggetto: Rispondi citando

Smjert ha scritto:
No, non è normale.


e ti pareva.. ormai non c'è più nulla di normale qua dentro.....

Citazione:
Dimmi poi come va!


ho scaricato quel tool e ti farò sapere appena applico la procedura..
intanto, a una nuova scansione con a-squared.. ecco il risultato:

a-squared Free - Version 2.1

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 19/03/2007 15.18.58

Value: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser --> {01E04581-4EEE-11D0-BFE9-00AA005B4383} rilevati: Trace.Registry.LttLogger v1.0

C:\WINDOWS\system32\atiptaxx.exe rilevati: Trojan-Dropper.Win32.Paradrop.a

C:\Documents and Settings\Lucilla\Documenti\My Received Files\SDFix.zip/SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\Lucilla\Desktop\Tool&Utility\SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
C:\SDFix\apps\Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20

Scansionati

Files: 134263
Tracce: 102406
Cookies: 18
Processi: 19

Rilevato

Files: 4
Tracce: 1
Cookies: 0
Processi: 0
Chiavi registro: 0

Fine scansione: 19/03/2007 16.43.39
Tempo scansione: 1.24.41

ogni volta esce qualcosa di nuovo .....
Top
Profilo Invia messaggio privato MSN
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 19 Mar 2007 20:10    Oggetto: Rispondi citando

ciao
io non mi preoccuperei per quei risultati!
alcuni antivirus vogliono "strafare", infatti A-squared ti rileva SDFix come un tool potenzialmente dannoso, ma NON LO é. si tratta di un classico falso positivo.

usi ancora Explorer come browser? cambialo con Firefox o Opera. risolvi molti dei tuoi problemi.
Top
Profilo Invia messaggio privato
Cybion
Dio maturo
Dio maturo


Registrato: 11/03/07 15:27
Messaggi: 1731
Residenza: vagabonda senza fissa dimora

MessaggioInviato: 19 Mar 2007 20:16    Oggetto: Rispondi citando

Orange ha scritto:

usi ancora Explorer come browser? cambialo con Firefox o Opera. risolvi molti dei tuoi problemi.


ciao Orange! Very Happy

si di SDfix in a-squared mi ero accorta.. adesso spero di risolvere per quell'host con il tool di Smjert.. e poi non capisco quel GAOBOT rilevato da spybot in Office ( o così mi par di capire..)

per il browser.. in realtà uso sia Explorer che Firefox.. solo che firefox mi da sempre qualche problema nell'aprire certe pagine.. e alla fine rischio di passare a explorer per far prima.. anche se so che sbaglio..
Top
Profilo Invia messaggio privato MSN
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 19 Mar 2007 21:38    Oggetto: Rispondi

per quel Gaobot ho trovato alcuni patch rilasciate dalla Microsoft
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
vedi se funzionano..

prova anche quest'altra applicazione
che dovrebbe rimuoverlo automaticamente..
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3  Successivo
Pagina 2 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi