| Precedente :: Successivo |
| Autore |
Messaggio |
rambler.tonino
Mortale adepto
Registrato: 22/07/07 15:08
Messaggi: 32
|
 Inviato: 21 Ago 2008 11:48 Oggetto: Infetto ma da cosa? |
 |
|
Ciao a tutti, proprio ieri mentre stavo installando un programma scaricato dalla rete, mi si è aperta una pagina di Firefox che il sistema antiphishing ha riconosciuto come nociva. Credrevo non fosse successo niente ma da allora ad ogni accensione di windows si avvia firefox su quella pagina.
Il pc è rallentato e la causa è del processo "ppxcs.exe" che impegna tutte le risorse.
Ho notato inoltre i processi "css.exe" e "scss.exe" che non credo di aver mai visto prima... 
La scansione con SpybothS&D non ha individuato nulla, mentre Nod32 ha trovato dei file infetti tra i quali:
C:\System Volume Information\_restore{1FFB4609-75D6-48FF-B297-96EC04637091}\RP149\A0046711.exe - probabilmente una variante di Win32/Dialer cavallo di troia - cancellato.
(glia altri file non li trovo più perché è andata via la corrente mentre era in funzione lo scanner... comunque si trattava di trojan secondo Nod32!)
Prima di combinare dei casini posto il log di HijackThis così che qualcuno più preparato di me mi dia una mano a ripulire il pc.
HIJACKTHIS:
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.35.10, on 21/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\RivaTuner v2.08\RivaTuner.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Documents and Settings\TONROS\sccs.exe
C:\Documents and Settings\TONROS\css.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "C:\WINDOWS\TEMP\E_S57D.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner v2.08\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "C:\Programmi\RivaTuner v2.08\RivaTuner.exe" /T
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Sccs] C:\Documents and Settings\TONROS\sccs.exe
O4 - HKLM\..\Run: [Css] C:\Documents and Settings\TONROS\css.exe
O4 - HKLM\..\Run: [ppxcs] C:\Documents and Settings\TONROS\ppxcs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209298129109
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
--
End of file - 6868 bytes
|
GRAZIE |
|
| Top |
|
 |
baciami
Semidio
Registrato: 02/09/07 15:40
Messaggi: 287
Residenza: toscana
|
|
| Top |
|
|
rambler.tonino
Mortale adepto
Registrato: 22/07/07 15:08
Messaggi: 32
|
| Inviato: 21 Ago 2008 17:47 Oggetto: |
|
|
Ho fatto come hai detto. L'unico problema è che ho fatto 2 scansioni con combofix per errore. Nella prima mi ha completamente eliminato un programma cinese per vedere la tv su internet.
Posto i log:
1)Normal Malware Cleaner
2)Combofix
3)hijackthis dopo tutte le varie scansioni
A quanto pare non siamo riusciti ad eliminare quei processi che impegnano la cpu e nemmeno quello che mi fa aprire una pagina "malevola" di firefox.
Proviamo altro?  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Ago 2008 19:17 Oggetto: |
|
|
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
| Codice: | File::
C:\Documents and Settings\TONROS\ppxcs.exe
C:\Documents and Settings\TONROS\intelOP.exe
C:\Documents and Settings\TONROS\sccs.exe
C:\Documents and Settings\TONROS\css.exe
C:\Documents and Settings\TONROS\setupC.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sccs"=-
"Css"=-
"ppxcs"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Documents and Settings\\TONROS\\ppxcs.exe"=- |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. 
Posta il log aggiornato di combofix.
Segui le istruzioni di questo topic per usare MBAM. Carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
rambler.tonino
Mortale adepto
Registrato: 22/07/07 15:08
Messaggi: 32
|
| Inviato: 21 Ago 2008 20:12 Oggetto: |
|
|
| bdoriano ha scritto: | Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
| Codice: | File::
C:\Documents and Settings\TONROS\ppxcs.exe
C:\Documents and Settings\TONROS\intelOP.exe
C:\Documents and Settings\TONROS\sccs.exe
C:\Documents and Settings\TONROS\css.exe
C:\Documents and Settings\TONROS\setupC.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sccs"=-
"Css"=-
"ppxcs"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Documents and Settings\\TONROS\\ppxcs.exe"=- |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Segui le istruzioni di questo topic per usare MBAM. Carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
Fatto!
Posto il log aggiornato di combofix, quello di mbam e l'ultimo di hijackthis:
- Combofix2.txt
- MBAM: | Citazione: | Malwarebytes' Anti-Malware 1.25
Versione del database: 1076
Windows 5.1.2600 Service Pack 3
19.53.55 21/08/2008
mbam-log-08-21-2008 (19-53-55).txt
Tipo di scansione: Scansione rapida
Elementi scansionati: 43402
Tempo trascorso: 2 minute(s), 13 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
|
- hijackthis2.log
Sembrerebbe essere tornato tutto alla normalità, ditemi se sono pulito e se posso disinstallare tutti i programmi usati perfavore.
Bdoriano sei un grande!!!!  ...mi hai salvato il "fondoschiena" altre volte, ma questa volta ti sei proprio superato. La gif animata è stata la ciliegina sulla torta... anche un ritardato come me non ha avuto difficoltà! 
Una sola parola... GRAZIE!  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Ago 2008 20:17 Oggetto: |
|
|
Giusto per sicurezza, fai queste operazioni:
- Disabilita il tuo antivirus
- Collegati a BitDefender (con IE) e fai la scansione completa.
- Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.
|
|
| Top |
|
|
rambler.tonino
Mortale adepto
Registrato: 22/07/07 15:08
Messaggi: 32
|
| Inviato: 21 Ago 2008 23:57 Oggetto: |
|
|
C'era ancora qualcosina.
Qualche file eliminato da bitdefender e kaspersky ha trovato questo:
kaspersky.html
Come mi comporto? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Ago 2008 07:15 Oggetto: |
|
|
Nulla di grave.
- C:\Programmi\Eset\infected\RH1W1ZCA.NQF
E' un file infetto isolato dal tuo antivirus.
Si trova nella quarantena di NOD32.
- H:\DOWNLOADS (Programmi,ecc..)\daemon4121-lite.exe
Daemon Tools contiene un adware (software pubblicitario).
Se hai intenzione di installarle, sappi che verrà installato anche l'adware.
- H:\VecchioPC\Tonino\CAZZATE\finger.zip
Questo più che un virus, sembrerebbe essere uno scherzo (badjoke = scherzo cattivo?)
Puoi decidere se cancellarli a mano (usando le Risorse del computer) o tenerli. |
|
| Top |
|
|
rambler.tonino
Mortale adepto
Registrato: 22/07/07 15:08
Messaggi: 32
|
| Inviato: 22 Ago 2008 21:32 Oggetto: |
|
|
Grazie!!!
Ma adesso posso cancellare tutto???? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
