Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Controllo log HijackThis mia amica
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 24 Apr 2008 09:58    Oggetto: Rispondi citando

bdoriano ha scritto:
Scusami, sono operazioni che considero scontate e mi dimentico di specificarle. Razz
eh, m sai ... poi chiedono a me cosa fare
(fosse il mio computer "rischierei"anche di più,ma quello degli altri...)


----------------
Tra l'altro meglio nondare nulla per scontato sul come usare i programmi, può succedere di tutto
Anxious

Ad esempio la mia amica ha fatto partire la scansione con Norman Malware Cleaner mentre io ero in diretta Smile al telefono con lei, e non dico che pareva un altro programma.

Quando io avevo provato il programma, mi è bastato doppio-clickare sull'icona e dopo un po' -c'ha messo un po' tant'è che stato per doppio-clickare di nuovo- si è aperto il programma e la finestra per accettare la licenza.
A lei invece si è aperta una finestra (alla fine delel spiegazioni telefoniche -ci vorrebbe il videotelefono Wink - ho capito che era una normale finestra esplora risorse di windows con una cartella contenenti 3 file) e ha dovuto doppio-clickare sull'eseguibile che c'era in quella cartella.

Inoltre a me la scansione è durata quasi 5 ore, a lei meno di un'ora.
(E lei ha uno spazio occupato sul disco maggiore del mio, vero anche che probabilmente lei ha file più grandi (multimediali) , io invece ho anche tanti file piccoli)

Nota: entrambi da modalità provvisoria. (io poi ho provato ad aprire il programma anche da modalità normale, e si è aperto come già si era aperto a me)

--------------


Siccome oggi la vedo -e non con scambio al volo in mezzo alla strada modello spie Very Happy ma un po' più con calma- e nei prossimi giorni non so se potremo incontrarci (se riusciamo vado anche direttamente a casa sua)
c'è qualche programma che può servire passarla -già che devo passarle KASPERSKY VIRUS REMOVAL TOOL- ?

Le ho già passato (oltre ai programmi che ha già usato)
*Il service pack 2 di Windows
*Getservices
*SystemScan

Vedo nelle discussioni-guida elencate in cima al forum
*findawf
*gmer
*EliBaglA
*Rogue Remover Free
*Smitfraudfix
*NOD32 standalone
può servire che me li scarico e le li passo?
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 24 Apr 2008 12:31    Oggetto: Rispondi citando

Mi sono accorto che lei ha eseguito un file che AVG Antispyware identifica come Backdoor.Hupigon
(ma che non lo identificava come tale quando quel file è transitato sul mio computer Mad )

L'ho uplodato su VirusTotal e a parte Eiwdo (che è AVG Antispyware, giusto?) anche altri 2 o 3 prodotti dicono che è sospetto.

Ora sono di corsa, maggiori dettagli dopo (verso le 6 pm , penso).
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 24 Apr 2008 13:48    Oggetto: Rispondi citando

chemicalbit ha scritto:
Vedo nelle discussioni-guida elencate in cima al forum
*findawf
*gmer
*EliBaglA
*Rogue Remover Free
*Smitfraudfix (questo non ci servirà)
*NOD32 standalone (questo non ci servirà, ha già Kaspersky)

Quelli che ho evidenziato, potrebbero esserci utili in base ai logs generati.
chemicalbit ha scritto:
L'ho uplodato su VirusTotal e a parte Eiwdo (che è AVG Antispyware, giusto?)

Giusto! Smile

Puoi anche provare a postarlo su VirScan e Jotti.
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 24 Apr 2008 20:54    Oggetto: Rispondi citando

VirusTotal: risultato in formato tabella e
risultato in formato HTML

VirSCAN.org: risultato

Virusscan Jotti : risultati



--------------

bdoriano ha scritto:
chemicalbit ha scritto:
Vedo nelle discussioni-guida elencate in cima al forum
*findawf
*gmer
*EliBaglA
*Rogue Remover Free
*Smitfraudfix (questo non ci servirà)
*NOD32 standalone (questo non ci servirà, ha già Kaspersky)

Quelli che ho evidenziato, potrebbero esserci utili in base ai logs generati.
Ok, appena posso le li porto
(oggi non ho fatto in tempo)

Sono programmi che posso installare ed eseguire anche io,
per vedere come si usano, per poterla aiutare incaso di bisogno?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 24 Apr 2008 21:15    Oggetto: Rispondi citando

chemicalbit ha scritto:
Sono programmi che posso installare ed eseguire anche io,
per vedere come si usano, per poterla aiutare incaso di bisogno?

Yes! Razz
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 25 Apr 2008 10:31    Oggetto: Rispondi citando

chemicalbit ha scritto:
VirSCAN.org: risultato
Uhm .. ho visto che quando si salva la pagina da VirSCAN.org HTML si perdono le informazioni (c'è qualche javascript di troppo, mi sa)

Infatti la pagina che ho salvato dice Scanner results : 6% Scanner(2/36) found malware! , ma poi nell'elenco non trovo nessuno che indica i dati.

Ho rifatto, e incollo qu a mano i risultati "positivi".

Scanner | Engine Ver | Sig Ver | Sig Date | Scan result | Time

Ikarus | T3.1.01.26 | 2008.04.24.70651 | 2008-04-24 | Backdoor.Pigeon.516 | 7.679

mks_vir | 2.01 | 2008.04.24 | 2008-04-24 | Backdoor.Pigeon.516 | 11.101


chemicalbit ha scritto:
Virusscan Jotti : risultati
Stesso discorso

Ikarus Found Backdoor.Pigeon.516

Però nella tabella '"introduttiva" precisa

Virusscan Jotti ha scritto:
[POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
(corsivo mio)

Però poi c'è una riga, sempre della tabella introduttiva, con
Virusscan Jotti ha scritto:
Bit9 reports: High threat detected (more info)
Il link porta ad una pagina del sito Bit9, che però riporta solo "Your hash has been found in 1 Package(s)." (Il tuo hash" -il valore MD5- "è stato trovato in 1 pacchetto")

e poi "Click here to Login or Register to view more information." ("Clicka qui per accedere (sottintenso: se sei già registrato) o registrati per vedere più informazioni." In pratica bisogna essere registrati)
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 25 Apr 2008 20:37    Oggetto: Rispondi citando

Il log di KASPERSKY VIRUS REMOVAL TOOL tarda ad arrivare,
oggi non ha potuto farlo.

Vedo se riesco a postarlo domani mattina, o domani sera.
(Anche perché per postarlo deve aspettare che c'incontriamo, visto che lei nonriesce a connettersi ad internet)


A proposito :

Ora ha rimosso dei virus, ecc.

Devo dirle di provare a connettersi, e vedre se ora riesce?
O al contrario, siccome non siamo sicuri che sia stato ripulito tutto, è decisamente meglio che non si connetta?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 26 Apr 2008 09:42    Oggetto: Rispondi citando

Prima di tentare la connessione, è meglio vedere i vari logs (kaspersky, combofix, gmer e hijackthis). Think
Se non riscontriamo infezioni, dovrà prima caricare il ServicePack2 e poi collegarsi. Wink
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 26 Apr 2008 10:43    Oggetto: Rispondi citando

combofix è qui sopra,

hijackthis dovrà rifarlo nuovo , o basta quello vecchio?

Kaspersky lo sta facendo,
l'ho sentita ora al telefono e ci sta impiegando un sacco (il tempo stimato di completamento al solito "balla" avanti e indietro. Tra l'altro ha scandito 2 volte la cartella documenti, la seconda volta più velocemnte. Boh.)

Per il momento le ha trovato dei Badjoke.Win32. ... (2 tipi diversi) in uan cartella con programmi scherzosi ( tipo che ti resettanoilpc, ecc. Quindi o falsi positivi, oppure appuntoavvisa che si tratta diquel tipo di programmi).

E dei file -parechci- in una cartella che dal nome è la quarantena di Norton antivirus ... soloche lei norton l'ha disintallato tempo fa!
(Non si rimuove la quarantena disinstallando il programma?)

Quanto a gmer, non mi ricordo che mi avevi detto di farle fare, deve fare anche quello?
(mi sa chi mi spara ... Wink )
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 26 Apr 2008 11:36    Oggetto: Rispondi citando

chemicalbit ha scritto:
combofix è qui sopra,

Ma è vecchio. Razz
  1. log di kaspersky
  2. nuovo log di combofix
  3. nuovo log di hijackthis

(per il momento, ma solo per il momento, le abbuoniamo i logs di gmer) Twisted Evil
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 26 Apr 2008 14:44    Oggetto: Rispondi citando

Ecco il log di Kaspersky
(c'ha messo 5 ore e mezza!)

l'ho dovuto accorciare, sennò era troppo grande e non riuscivo ad hostarlo
(e venivano elencati tutti i file della mia amica, cosa che non so se lei gradisca, ...anzi .... Rolling Eyes )

Ho tolto quindi la parte "events", che elenca tutti i file controllati.

Kaspersky_2008apr26sab_corto.log

Log di HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.29.03, on 26/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: setup_7.0.0.180_23.04.2008_13-43 - Kaspersky Lab - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6747 bytes



Combofix lo posto appena riesce a farlo.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 27 Apr 2008 07:57    Oggetto: Rispondi citando

A parte un paio di BadJoke (scherzi) e la quarantena di Norton, ha trovato solo traccie di un virus che si autoaggiorna via FTP. Evil or Very Mad

Il log di hijackthis, invece, mostra alcune voci preoccupanti non riscontrate da Kaspersky (spero che risultino già eliminate). Rolling Eyes

Aspetto di vedere il log di combofix. Think
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 27 Apr 2008 22:18    Oggetto: Rispondi citando

Dunque ecco il risultato di Combofix e il log di HijackThis,
dopo aver fatto Kaspersky Lab Tool

Nota: dopo però ha cambiato alcune cose,
per cui abbiamo rifatto sia Combofix che HijackThis.
Li posto nel messaggio seguente.

Questi sono i log di prima di quelle modifche (chimiamoli "del mattino")
Li posto comunque nel caso ti servissero.

combofix del mattino

ComboFix 08-04-20.2 - stefania 2008-04-27 9.20.45.2 - NTFSx86
Eseguito da: C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\antivirus giorgio2\Altri\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-03-27 al 2008-04-27 )))))))))))))))))))))))))))))))))))
.

2008-04-22 17:42 . 2008-04-22 17:42 <DIR> d-------- C:\Programmi\CCleaner
2008-04-20 17:15 . 2008-04-20 17:15 <DIR> d-------- C:\Programmi\SAGEM
2008-04-20 12:13 . 2008-04-20 12:13 <DIR> d-------- C:\WINDOWS\Cronologia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 07:19 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\OpenOffice.org2
2008-04-22 16:21 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-04-20 15:15 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-20 15:15 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-20 12:18 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\AVG7
2008-03-02 16:53 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\PCF-VLC
2008-03-02 16:00 --------- d-----w C:\Programmi\Miro
2008-03-02 16:00 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\Participatory Culture Foundation
2008-03-02 15:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-02 13:28 --------- d-----w C:\Programmi\IrfanView
2007-04-25 18:13 34,304 --sha-w C:\Programmi\Thumbs.db
2005-05-15 05:10 56 --sh--r C:\WINDOWS\system32\A0DE8C0F4E.sys
2005-05-15 05:10 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-23_18.38.16.24 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-23 16:32:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-27 07:17:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-23 16:33:03 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-04-27 07:23:01 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-04-23 16:33:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
+ 2008-04-27 07:23:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
- 2008-04-23 16:33:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2008-04-27 07:23:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
+ 2007-07-05 12:34:52 134,160 ----a-w C:\WINDOWS\system32\drivers\klif.sys
- 2008-04-23 15:29:48 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-27 07:21:37 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-23 15:29:48 47,592 ----a-w C:\WINDOWS\system32\perfc010.dat
+ 2008-04-27 07:21:37 47,592 ----a-w C:\WINDOWS\system32\perfc010.dat
- 2008-04-23 15:29:48 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-27 07:21:37 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-04-23 15:29:48 345,010 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-04-27 07:21:37 345,010 ----a-w C:\WINDOWS\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-31 14:00 13312]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2001-08-02 08:14 1077277]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 14:58 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe" [2000-11-22 05:40 462848 C:\WINDOWS\sm56hlpr.exe]
"AdaptecDirectCD"="C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2001-09-14 12:34 655360]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-20 10:57 579072]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2005-07-25 17:52 26112]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"AVP"="C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe" [2007-10-12 16:29 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Starting up"="wvsvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-31 14:00 13312]
"Modem Driverz Updates"="mdmdrv.exe" []
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-28 10:58 219136]

C:\Documents and Settings\stefania\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-20 17:15:19 962663]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2002-07-09 17:58:26 128000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sound Service]
@="Service"

S2 AIM;AOL Instant Messanger;"C:\WINDOWS\aim.exe" []
S2 setup_7.0.0.180_23.04.2008_13-43;setup_7.0.0.180_23.04.2008_13-43;"C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_23.04.2008_13-43.exe" -r []
S2 Sound Service;Sound Sservice Driver ;C:\WINDOWS\System32\cfmon.exe []

*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-27 07:23:01 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 09:23:22
Windows 5.1.2600 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-04-27 9.26.57
ComboFix-quarantined-files.txt 2008-04-27 07:26:55
ComboFix2.txt 2008-04-23 16:38:40

10 Directory 7,707,693,056 byte disponibili
12 Directory 7,700,348,928 byte disponibili

105

HijackThis del mattino
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.01.58, on 27/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6251 bytes


Dopo di ciò, come dicevo abbiamo fatto altre operazioni.
Maggiori dettagli e log aggiornati nel prossimo messaggio.
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 27 Apr 2008 22:41    Oggetto: Rispondi citando

Dopo di che abbiamo rifatto una scansione con Norman Malware Cleaner.

E' durato abbastanza di più del precedente (ma mai quanto sul mio computer ...), e non ha trovato nulla
NFix_2008-04-27_11-36-36.log

Poi abbiamo installato il Service Pack 2 di Windows XP,

e installato un masterizzatore DVD (che un annetto prima, non ho ancora capito il perché, non funzionava; e ora sì) e InfraRecorder (uno dei programmi gratuiti di masterizzazione indicati in questa discussione)

e qualche altra modifica minore (lo spostamento/rinominaizone di alcune cartelle, ecc.)


A quel punto, visto che un po' di cose erano cambiate, ho fatto un nuovo log di HijackThis
(non pensavo di avere tempo per fare anche combofix)

Log di HijackThis del pomeriggio (dopo l'installazione del sp2)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.37.57, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\HijackYhis\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {BE391536-5DF8-4107-8CC0-7EF98D6AC3E3} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117729000150
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

--
End of file - 6354 bytes



Poi ho avuto tempo di fare anche combofix
(che ha fatto absbtanza in fretta).

Tra l'altro ho avuto un piccolo problema,
mi sono accorto che non avevo chiuso tutti i programmi nell'area di notifica vicino all'orologio. "Beh, li chiudo, nel frattempo combofix è fermo sulla schermata inziale inatesa che io prema '1' . Quanto avrò finito finito di chiudere i programmi, premerò '1' e partirà".
Quanto sono tornato a guardare la finestra stava già andando. (e non posos aver premuto la tastiera, che era stata messa da parte perché stavamo già liberando la scrivania)

log di combofix del pomeriggio (dopo l'installazione del sp2)

combofix 27apr dopo sp2.txt
(non lo posto nel forum perché sono 392 kb ...)


EDIT: log di combofix a cui ho tolto la seziona più lunga.

ComboFix 08-04-20.2 - stefania 2008-04-27 19.54.08.3 - NTFSx86
Eseguito da: C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\antivirus giorgio2\Combofix\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-03-27 al 2008-04-27 )))))))))))))))))))))))))))))))))))
.

2008-04-27 16:34 . 2008-04-27 16:34 <DIR> d-------- C:\Programmi\InfraRecorder
2008-04-27 16:34 . 2008-04-27 17:13 <DIR> d-------- C:\Documents and Settings\stefania\Dati applicazioni\InfraRecorder
2008-04-27 14:33 . 2008-04-27 14:33 <DIR> d-------- C:\Documents and Settings\LocalService\Menu Avvio
2008-04-27 14:29 . 2008-04-27 14:29 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-27 14:26 . 2004-08-19 15:39 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-27 14:21 . 2008-04-27 14:21 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-04-27 14:16 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002350_.tmp
2008-04-27 14:15 . 2004-08-03 22:43 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-27 14:11 . 2008-04-27 14:11 <DIR> d-------- C:\WINDOWS\EHome
2008-04-22 17:42 . 2008-04-22 17:42 <DIR> d-------- C:\Programmi\CCleaner
2008-04-20 17:15 . 2008-04-20 17:15 <DIR> d-------- C:\Programmi\SAGEM
2008-04-20 12:13 . 2008-04-20 12:13 <DIR> d-------- C:\WINDOWS\Cronologia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 17:54 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\OpenOffice.org2
2008-04-22 16:21 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-04-20 15:15 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-20 15:15 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-20 12:18 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\AVG7
2008-03-02 16:53 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\PCF-VLC
2008-03-02 16:00 --------- d-----w C:\Programmi\Miro
2008-03-02 16:00 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\Participatory Culture Foundation
2008-03-02 15:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-02 13:28 --------- d-----w C:\Programmi\IrfanView
2007-04-25 18:13 34,304 --sha-w C:\Programmi\Thumbs.db
2005-05-15 05:10 56 --sh--r C:\WINDOWS\system32\A0DE8C0F4E.sys
2005-05-15 05:10 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-23_18.38.16.24 )))))))))))))))))))))))))))))))))))))))))

vedere log completo. combofix 27apr dopo sp2.txt

-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-08-19 15:39 1667584]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 14:58 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe" [2000-11-22 05:40 462848 C:\WINDOWS\sm56hlpr.exe]
"AdaptecDirectCD"="C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2001-09-14 12:34 655360]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-20 10:57 579072]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2005-07-25 17:52 26112]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Starting up"="wvsvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:39 15360]
"Modem Driverz Updates"="mdmdrv.exe" []
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-28 10:58 219136]

C:\Documents and Settings\stefania\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-20 17:15:19 962663]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2002-07-09 17:58:26 128000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sound Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S2 AIM;AOL Instant Messanger;"C:\WINDOWS\aim.exe" []
S2 Sound Service;Sound Sservice Driver ;C:\WINDOWS\System32\cfmon.exe []

.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-27 17:58:24 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 19:57:38
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-04-27 20.02.09
ComboFix-quarantined-files.txt 2008-04-27 18:01:57
ComboFix2.txt 2008-04-27 07:26:58
ComboFix3.txt 2008-04-23 16:38:40

10 Directory 6,531,407,872 byte disponibili
13 Directory 6,523,518,976 byte disponibili

4034



Attualmente non ho un ulteriore log di HijackThis, dopo questa scansione di Combofix di oggi pomeriggio-sera.


p.s. sono un po' stanchino dopo questa giornatina dentro (anche nel senso letterale ... ) un pc,
e ho dovuto trattenere la mia amica che voleva connettersi ad Internet ("dopo tutti questi antivirus e con l'aggiornamento che hai messo, sarà a posto, no?")
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 28 Apr 2008 08:45    Oggetto: Rispondi citando

chemicalbit ha scritto:
Dopo di che abbiamo rifatto una scansione con Norman Malware Cleaner.

E' durato abbastanza di più del precedente (ma mai quanto sul mio computer ...), e non ha trovato nulla
NFix_2008-04-27_11-36-36.log
Guardando il log ho visto (*) che però all'inizio (ancor prima di
"Scan started: 27/04/2008 11:36:36

Scanning running processes and process memory..." )
log di Norman Malware Cleaner. ha scritto:
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000


E' grave? E' normale?
Dal nome mi pare qualcosa che se settato (a 1) impedisce di aprire Regedit.
Ma allora perché rimuove il settaggio a zero che immagino essere la condizioennormale? (o al contrario illog indica -in modo criptico- che ha rimosso in quella chiave del registro, quelvalore col datoerrato, e dopo l'ha ricreata con 0x00000000, cioè il vaolre giusto?)



(*) = Non so perché non me ne fossi accorto,
o non viene indicato a video
o più semplicemnte non c'avevo fatto caso.


---------


bdoriano ha scritto:
Il log di hijackthis, invece, mostra alcune voci preoccupanti non riscontrate da Kaspersky (spero che risultino già eliminate). Rolling Eyes

Aspetto di vedere il log di combofix. Think
Intendi
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
e
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


che vedo ancora nell'ultimo log di HijackThis ... ?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 28 Apr 2008 18:42    Oggetto: Rispondi citando

chemicalbit ha scritto:
chemicalbit ha scritto:
Dopo di che abbiamo rifatto una scansione con Norman Malware Cleaner.

E' durato abbastanza di più del precedente (ma mai quanto sul mio computer ...), e non ha trovato nulla
NFix_2008-04-27_11-36-36.log
Guardando il log ho visto (*) che però all'inizio (ancor prima di
"Scan started: 27/04/2008 11:36:36

Scanning running processes and process memory..." )
log di Norman Malware Cleaner. ha scritto:
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000


E' grave? E' normale?

E' normale, ha rimosso una limitazione probabilmente impostata da un virus.
chemicalbit ha scritto:
(o al contrario illog indica -in modo criptico- che ha rimosso in quella chiave del registro, quelvalore col datoerrato, e dopo l'ha ricreata con 0x00000000, cioè il vaolre giusto?)

Esatto! Smile
chemicalbit ha scritto:
Intendi
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
e
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


che vedo ancora nell'ultimo log di HijackThis ... ?

Si, intendevo proprio quelle. Wink
Ho notato, dal log di combofix, che i files riferiti non esistono più.

Quindi:
avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing

clicca fix checked
Riavvia il pc in modalità normale, rifai il log di hijackthis e postalo.
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 28 Apr 2008 21:26    Oggetto: Rispondi citando

bdoriano ha scritto:
chemicalbit ha scritto:
Intendi
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
e
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


che vedo ancora nell'ultimo log di HijackThis ... ?

Si, intendevo proprio quelle. Wink
Ho notato, dal log di combofix, che i files riferiti non esistono più.
Proverò, per curiosità, se riesco a "notare" anche io.
(non ho mai capito come si "leggano" i log di combofix)


bdoriano ha scritto:
Quindi:
avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing

clicca fix checked
Riavvia il pc in modalità normale, rifai il log di hijackthis e postalo.
Riferisco.

Grazie.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Apr 2008 08:20    Oggetto: Rispondi citando

Dimenticavo: in teoria dovrebbe potersi riconnettere a internet. Razz
Fagli fare gli aggiornamenti e installare un buon antivirus + firewall + antispyware. Wink
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 29 Apr 2008 09:31    Oggetto: Rispondi citando

Sì, aspettavo di vedere il nuovo log di hijackThis prima di darle il via (tanto in questi giorni non penso avrà tempo di collegarsi, probabilmente nel weekend)

Le ho appena passato l' SP2 di win XP
(che ora ho installato anche io...)

Come antivirus ha AVG free, che aggiorna quando si connette ad Internet, per cui ce l'ha aggiornato al 20 aprile (è una delle poche cose che era risucita a fare prima di sconnettersi).

Come antispyware:
Spybot S&D 1.4, la vecchia versione (*) : le ho scaricato manualmente gli aggiornamenti e le li ho passati, devo dirle come installarli.
Lavasoft Adaware SE (*) : le ho scaricato manualmente gli aggiornamenti -gli ultimi per quella versione dicembre 2007- e le li ho passati, devo dirle come installarli.
AVG Antipispyware : le ho passato la nuova versione (**)

(*) = appena riesco io ad installare e provare le nuove versioni le passo anche quelle.

(**) = non c'è modo di prelevare dal sito solo gli aggiornemnti, vero?

Quanto al firewall ora ha quello di WinXP SP2 (e prima mi pare avesse quello di WinXP senza SP1 e senza SP2)
Dici che prorpio non basti, almeno per il momento?
Ha già 10.000 Smile programmi in esecuzione all'avvio e dice che c'impiega troppo ad accendersi, e un nuovo firewall "serio" dovrebbe imparare ad usarlo. Se possibile per il momento rimanderei.



p.s. : ora può riabilitare il ripristino configurazione di sistema, vero?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Apr 2008 21:24    Oggetto: Rispondi

Passale pure la versione 1.5.2.20 di Spybot. Io la sto utilizzando già da qualche mese. Wink

Di AVG Antispyware so molto poco, preferisco utilizzare SuperAntiSpyware o SpywareTerminator (per il controllo in tempo reale).

Come firewall sento parlare molto bene di Online Armor Firewall che dovrebbe essere molto semplice da configurare e usare.

La riabilitazione del ripristino la può fare quando siamo sicuri che non ci sono più voci strane. Aspettiamo il prossimo log di hijackthis.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3  Successivo
Pagina 2 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi