Olimpo Informatico

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

Salve a tutti voi!
Da qualche giorno mi compare questo messaggio sul pc:
memoria operativa <<service.exe(640)
una variante di Win32/Nulprot trojan horse
Di seguito vi posto le note di HiJackThis
Vi ringrazio per il tempo che mi dedicherete

link

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao

Ho visto che hai installato Superantispyware.
Fai una scansione e posta il log.

Poi:
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.

Per ultimo:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
Se ricevi messaggi da parte dell'antivirus (disabilitato) o di Combofix, ignorali, e continua la scansione.
http://forum.zeusnews.com/viewtopic.php?t=45224

Carica i log di SuperAntispyware, MBAM, e Combofix su link e posta il Forum Link che ti viene assegnato.
Oppure:
link

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

trovati 6 trojan. La domanda è: deleto, lascio in quarantena oppure istallo e lancio cmq MBAM? intanto posto le note di Antispyware. grz x la risposta!

SUPERAntiSpyware Scan Log
link

Generated 11/06/2011 at 02:46 PM

Application Version : 5.0.1134

Core Rules Database Version : 7904
Trace Rules Database Version: 5716

Scan type : Complete Scan
Total Scan Time : 01:24:18

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 514
Memory threats detected : 0
Registry items scanned : 38882
Registry threats detected : 6
File items scanned : 58423
File threats detected : 0

Trojan.Agent/Gen
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p#Start
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p#Group
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p#Tag
HKLM\SYSTEM\CurrentControlSet\Services\asc3550p#Type

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

trovato un trojan: rimosso.

Malwarebytes' Anti-Malware 1.51.2.1300
link

Versione database: 8097

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/11/2011 18.44.56
mbam-log-2011-11-06 (18-44-56).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 272355
Tempo impiegato: 1 ore, 18 minuti, 0 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\Software\MSSec (Trojan.Downloader) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Per postare i log delle scansioni, intendevo così:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

Aspetto la scansione di Combofix, e il relativo log che rilascerà.
Ovviamente, posta il log nelle modalità descritte sopra.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
I link dovevi postarli in questo topic.
Non aprire altri topic.
http://forum.zeusnews.com/viewtopic.php?t=57185
http://forum.zeusnews.com/viewtopic.php?t=57184

Riscontri problemi sul pc?

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

ok...scusa la mia imbranataggine.
No da quando ho fatto la scansione con MBAM e Superantispyware il pc va nettamente meglio ed è molto più veloce. Aspetto stasera per vedere se mi comparirà il messaggio della presenza di nulprot e ti farò sapere!
Grz 10000!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

No probabilmente non ti apparirà più.
Però è facile che Malwarebytes rilevi ancora una chiave del registro.
Per sicurezza fai un'altra scansione con Malwarebytes.

Poi segui questo percorso:
c:\documents and settings\All Users\Dati applicazioni\SUPERSetup
Arrivato alla cartella SUPERSetup la apri, e copia-incolla in questo topic il suo contenuto.
Se non sai seguire il percorso, useremo di nuovo Combofix.

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

ecco il log di MBAM

mbam-log-2011-11-09 (09-49-30).txt

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

per quanto riguarda il percorso c:/document and settings/all users tutto ok! il problema è che entrato in all users NON trovo dati applicazioni e di conseguenza supersetup (ho anche lanciato la ricerca....esito neg). Dove sbaglio?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log con Wikisend.

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

Extras.Txt

OTL.Txt

grz

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Riscontri qualche problema ?

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

ora no...il pc ha riacquistato velocità rispetto a prima...nettamente migliorato. c'è altro che puoi fare XD?

silk222 · Eroe Registrato: 27/09/05 09:48 Messaggi: 41

poco dopo averti risposto, il pc si è autoresettato...e per un po' è andato in blocco...ora ha ripreso a funzionare: c'è da dire che stasera la connessione è pessima. devo temere qcs?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129